Device Fingerprinting: hoeveel risico loopt u?

Delen
Copied to clipboard!
Device Fingerprinting: hoeveel risico loopt u?
Luister naar het artikel
00:00 / 00:00

Wat is Device Fingerprinting?

Inzending vanuit de community - Auteur: anoniem


In de informatica verwijst Device Fingerprinting naar het proces van het samenstellen van unieke identificatiegegevens van allerlei soorten verschillende gegevens en data. Maar wanneer bepaalde technieken worden gebruikt om een individuele gebruiker of machine te identificeren, dan noemen we dit browser- of device fingerprinting.

In essentie bestaat het gehele proces uit het verzamelen van informatie over een smartphone, computer of andere apparaten. Soms kan dit zelfs worden bereikt, wanneer het IP-adres van de gebruiker is verborgen of wanneer deze van de ene browser naar een andere verplaatst.

Al geruime tijd verzamelen analytics-diensten informatie over apparaten en browsers, met als doel het webverkeer te meten en potentieel misbruik op te sporen. Tegenwoordig maken meer geavanceerde methoden het verzamelen van specifieke parameters mogelijk.

Eerdere fingerprinting-methoden waren vooral gericht op computers. Maar moderne technieken kunnen nu bijna elk type apparaat identificeren en er is een toenemende belangstelling voor de groeiende mobiele omgeving.


Hoe werkt het?

Device fingerprinting omvat het verzamelen van verschillende gegevenssets, die vervolgens worden samengevoegd en via een hashfunctie worden ingediend. Vervolgens kan de uitvoer (hash-waarde) dienen als een unieke ID voor elk apparaat (of gebruiker).

De verzamelde informatie wordt meestal opgeslagen in een database in plaats van op het apparaat zelf. Hoewel een enkel gegevenspunt enigszins generiek is, kan de combinatie van meerdere gegevenssets uniek zijn.

Device fingerprinting kan zowel passieve als actieve methoden omvatten. Het doel van beide methoden is het verzamelen van informatie over een apparaat. Dus zelfs als duizenden computers hetzelfde besturingssysteem gebruiken, zullen ze waarschijnlijk een unieke combinatie van software, hardware, browser, plug-ins, taal, tijdzone en algemene instellingen bevatten.


Passive fingerprinting

Zoals de naam doet vermoeden, verzamelen passieve methoden informatie op een minder opvallende manier, zonder gebruikersgegevens op te vragen (of het externe systeem). De gegevens worden verzameld op basis van wat door elk apparaat wordt verzonden, dus passive fingerprints leveren meestal minder specifieke informatie op (bijvoorbeeld het besturingssysteem).

Iemand kan bijvoorbeeld een passive fingerprint-techniek ontwikkelen die informatie verzamelt over een draadloos stuurprogramma op netwerkapparaten, zoals een internetmodem. De passieve interactie kan worden onderzocht onder verschillende soorten stuurprogramma's, zonder dat de apparaten actief hoeven te zijn. Simpel gezegd, verschillende apparaten gebruiken verschillende methoden voor het scannen van mogelijke verbindingen (toegangspunten). Deze verschillen kunnen dus door een aanvaller worden gebruikt om nauwkeurig te identificeren welk stuurprogramma door elk doelapparaat wordt gebruikt.


Active fingerprinting

Active fingerprinting is afhankelijk van actieve netwerkcommunicatie, waardoor ze beter detecteerbaar zijn aan de client-kant. Sommige websites gebruiken JavaScript om informatie te verzamelen over de apparaten en browsers van de gebruiker. Dit kan bijvoorbeeld venstergrootte, lettertypen, plug-ins, taalinstellingen, tijdzone en zelfs details over hun hardware zijn.

Een noemenswaardig voorbeeld van een actieve techniek is canvas fingerprinting, die zowel op computer- als mobiele apparaten wordt gebruikt. Het is veelal afhankelijk van een script dat communiceert met het canvas (grafisch element) van een HTML5-webpagina. Het script geeft het canvas de opdracht een onzichtbare afbeelding op het scherm weer te geven en registreert vervolgens de informatie die in de afbeelding wordt weergegeven, zoals schermresolutie, lettertypen en achtergrondkleuren.


Waar wordt het voor gebruikt?

Met Device fingerprinting kunnen adverteerders het gedrag van consumenten in meerdere browsers volgen. Ook stellen ze banken in staat om te controleren of een verzoek afkomstig is van een vertrouwd apparaat of dat het verzoek afkomstig is van een systeem dat eerder was geassocieerd met frauduleuze activiteit.

Device fingerprinting helpt daarnaast websites om meerdere accountregistraties te voorkomen of om een zoekmachine apparaten te markeren die verdacht gedrag vertonen.

Device fingerprints kunnen van pas komen bij het detecteren en voorkomen van identiteitsdiefstal of creditcardfraude. Deze technieken vormen echter een gevaar voor de privacy van gebruikers en, afhankelijk van de implementatie, kan het verzamelen van gegevens niet detecteerbaar zijn - met name bij passive fingerprints.


Wat zijn de beperkingen?

Bij active fingerprinting, is de gegevensverzameling afhankelijk van de beschikbaarheid van scripttalen, zoals JavaScript. Mobiele apparaten en gebruikers die privacy-software of plug-ins gebruiken, hebben een beperkte beschikbaarheid van scripts, waardoor ze moeilijker identificeerbaar zijn. Dit omvat onder andere het gebruik van browserextensies die trackers en advertenties blokkeren.

In sommige gevallen kunnen privacygerichte gebruikers juist makkelijker geïdentificeerd worden. Bijvoorbeeld wanneer ze software en plug-ins gebruiken die niet populair zijn, in combinatie met bepaalde instellingen die, ironisch genoeg, ze juist meer onderscheiden.

Ook kan de effectiviteit van vingerafdrukken worden beperkt door grote variaties aan de cliëntzijde. Gebruikers die constant hun instellingen wijzigen of die meerdere virtuele besturingssystemen gebruiken, kunnen onnauwkeurigheden veroorzaken bij het verzamelen van gegevens. 

Het gebruik van verschillende browsers kan ook voor inconsistenties zorgen bij informatievergaring, maar moderne cross-browser fingerprinting technieken kunnen worden gebruikt om dergelijke beperkingen tegen te gaan.


Tot slot

Er zijn veel verschillende manieren om device fingerprinting te implementeren en te gebruiken. De effectiviteit van gegevensverzameling en het identificeren van een enkele bron kan sterk variëren per methode.

Op zichzelf of in combinatie met andere methoden kan device fingerprinting een effectief hulpmiddel zijn om gedrag te volgen en gebruikers te identificeren. Als zodanig kan deze krachtige techniek worden gebruikt voor zowel legitieme als malafide activiteiten. Goed geïnformeerd zijn over dit onderwerp, is dan ook een goed vertrekpunt.

Loading