Basisprincipes
Browser- of apparaatfingerprinting is een techniek uit de informatica om unieke identificaties te genereren voor verschillende vormen van digitale data. Hierbij wordt informatie verzameld over smartphones, computers en andere apparaten. Dit kan zelfs plaatsvinden als de gebruiker van browser wisselt of zijn IP-adres verbergt.
Webanalysetools verzamelen al jaren browser- en apparaatgegevens om legitiem webverkeer te meten en fraude te voorkomen. Recente technologische ontwikkelingen maken het echter mogelijk om meer specifieke parameters te verzamelen.
Vroeger werd fingerprinting voornamelijk gebruikt om computers te identificeren. Nu kunnen geavanceerde methoden bijna elk apparaat herkennen, en de mobiele omgeving is een steeds belangrijker aandachtspunt geworden.
Hoe werkt apparaatfingerprinting?
Het proces van apparaatfingerprinting omvat het verzamelen van datasets, die worden gecombineerd en verwerkt met een hashfunctie. De resulterende hashwaarde kan dienen als unieke identifier voor elk apparaat of elke gebruiker. De informatie wordt doorgaans in een database opgeslagen in plaats van op het apparaat zelf. Hoewel één gegeven op zichzelf generiek kan zijn, kan de combinatie van meerdere datasets uniek zijn.
Zowel passieve als actieve methoden kunnen worden ingezet bij apparaatfingerprinting om informatie over een apparaat te verzamelen. Zelfs als duizenden computers hetzelfde besturingssysteem gebruiken, zal elk waarschijnlijk een unieke combinatie hebben van software, hardware, browser, plugins, taal, tijdzone en algemene instellingen. Het doel van beide benaderingen is om zo veel mogelijk informatie over het apparaat te verzamelen.
Passieve fingerprinting
Passieve fingerprinting verwijst naar het subtiel verzamelen van data zonder de gebruiker of het externe systeem direct te bevragen. Hierdoor levert deze aanpak vaak minder specifieke informatie op, zoals alleen het besturingssysteem.
Met een passieve fingerprintingtechniek is het bijvoorbeeld mogelijk om informatie te verzamelen over draadloze drivers op netwerkapparaten zoals modems. Dit kan bereikt worden door te analyseren welke typen drivers er zijn en hoe ze scannen naar mogelijke verbindingen, zonder dat er interactie met de apparaten nodig is. Door de verschillen te identificeren in hoe meerdere apparaten naar access points scannen, kan een aanvaller nauwkeurig bepalen welke driver op elk doelapparaat wordt gebruikt.
Actieve fingerprinting
Actieve fingerprinting omvat netwerkcommunicatie, wat aan de cliëntzijde gemakkelijker te detecteren is. Websites kunnen JavaScript-code gebruiken om informatie te verzamelen over de apparaten en browsers van de gebruiker, waaronder venstergrootte, lettertypen, plugins, taalinstellingen, tijdzone en hardwaregegevens.
Een voorbeeld van een actieve fingerprintingtechniek is canvas-fingerprinting, dat zowel op computers als mobiele apparaten wordt toegepast. Deze methode gebruikt vaak een script dat interactie heeft met het canvas van een HTML5-webpagina. Het script geeft het canvas de opdracht een verborgen afbeelding te maken op het scherm, die informatie vastlegt zoals schermresolutie, lettertypen en achtergrondkleuren.
Waar wordt apparaatfingerprinting voor gebruikt?
Apparaatfingerprinting wordt veel gebruikt door adverteerders om gebruikersgedrag over meerdere browsers te volgen. Ook banken zetten deze methoden in om te controleren of een verzoek afkomstig is van een vertrouwd apparaat en niet van een systeem dat betrokken is bij fraude.
Daarnaast is apparaatfingerprinting nuttig voor websites om meerdere accountregistraties te voorkomen en voor zoekmachines om verdacht apparaatgedrag te signaleren. Ook kunnen deze technieken helpen bij het detecteren en voorkomen van identiteitsdiefstal en creditcardfraude.
Apparaatfingerprinting vormt echter ook een bedreiging voor de privacy van gebruikers, en afhankelijk van de implementatie kan dataverzameling ondetecteerbaar zijn, vooral bij passieve fingerprintingtechnieken.
Beperkingen
Zowel actieve als passieve methoden van apparaatfingerprinting kennen beperkingen. Actieve fingerprinting is afhankelijk van de beschikbaarheid van scripttalen zoals JavaScript, die mogelijk niet aanwezig zijn op mobiele apparaten of apparaten met privacysoftware of plugins. Privacybewuste gebruikers met specifieke instellingen of met gebruik van minder gangbare software kunnen echter gemakkelijk worden geïdentificeerd.
Passieve fingerprinting verzamelt gegevens op basis van wat elk apparaat uitzendt, maar geeft doorgaans minder specifieke informatie. Onnauwkeurigheden kunnen optreden wanneer gebruikers voortdurend hun instellingen wijzigen of meerdere virtuele besturingssystemen gebruiken. Bovendien kan het gebruik van verschillende browsers tot inconsistenties leiden, maar cross-browser fingerprintingtechnieken kunnen helpen dergelijke beperkingen te vermijden.
Conclusie
Apparaatfingerprinting kan op verschillende manieren worden geïmplementeerd, en de effectiviteit van elke methode kan aanzienlijk verschillen in termen van dataverzameling en het identificeren van een enkele bron. Of het nu alleen of in combinatie met andere methoden wordt gebruikt, apparaatfingerprinting is een krachtig instrument voor het volgen van gebruikersgedrag en identificatie. Het kan zowel voor legitieme als illegale doeleinden worden ingezet, waardoor het essentieel is de basismethoden te begrijpen.