Neue Datenschutzregeln, insbesondere die DSGVO in Europa, sollen die Privatsphäre von Internetnutzern besser absichern. Besonders im Visier stehen dabei sogenannte "Tracking-Cookies", die es ermöglichen, User und ihr Surfverhalten über zahlreiche Websites hinweg nachverfolgbar zu machen. Eine Goldgrube für die Platzierung zielgerichteter Werbung.

Während Google mit Topics an einer Alternative zu solchen Cookies arbeitet, die einen Kompromiss zwischen Datenschutz und interessenbasierten Anzeigen liefern soll, suchen manche Webseiten und Werbenetzwerke nach Möglichkeiten.

GPU Fingerprinting

Sie versuchen etwa, Informationen wie die Zeitzone, Hardwarekonfiguration, Bildschirmauflösung und andere Einstellungen abzugleichen. Forscher aus Australien, Israel und Australien haben nun allerdings eine Methode gefunden, mit der sich die Nachverfolgung zuverlässiger machen lässt. "Drawn Apart" (PDF) nennt sich diese.

Sie setzt auf "GPU Fingerprinting", es geht also um die eindeutige Identifikation der Grafikeinheit. Getestet wurde mit 2.550 Geräten mit 1.605 unterschiedlichen Grafikeinheiten – von Rechnern mit üblicher PC-Hardware bis hin zu Smartphones reichend. Sie sprechen den Vertex Shader an, um sicherzustellen, dass die Aufgaben nicht von zufällig zugewiesenen Execution-Units übernommen und damit unvorhersagbare Ergebnisse erzeugen würden.

Kann auch baugleiche Grafikkarten unterscheiden

Die Identifikation realisiere sie über Javascript-Code, der sich in der Regel ohne weiteres in jedem modernen Browser ausführen lässt und entweder kurze, aber rechenintensive Berechnungen über die Browser-Grafikschnittstelle Web GL anstellt oder länger dauernde, die die Grafikeinheit weniger stark beanspruchen. Daraus ergeben sich 176 Merkmale, die über 16 Messpunkte hinweg erhoben werden. Anschließend testete man, ob und wie sich die Messwerte änderten, wenn man andere Teile der Computerhardware austauschte, und stellte fest, dass die erhobenen Werte tatsächlich rein von der GPU beeinflusst wurden.

Zur Unterscheidung der einzelnen Grafikeinheiten, insbesondere bei identen Modellen, macht man sich zunutze, das selbst zwei Grafikbeschleuniger des gleichen Typs vom selben Hersteller sich aufgrund kleiner Abweichungen bei der Herstellung minimal unterscheiden. Während dies bei Benchmarks und für die Performance bei Spiel- und Arbeitseinsätzen keinen nennenswerten Unterschied macht, eignet er sich für ausgeklügeltes Tracking. Selbst wenn die Grafikeinheit parallel dazu mit anderen Berechnungen belastet wird oder das System neu gestartet wird, funktioniert die Drawn-Apart-Methode.

67 Prozent längeres Tracking

Ein typischer Tracking-Algorithmus, der auf andere Merkmale setzt, ermöglicht es laut den Forschern, einen Nutzer über im Schnitt (Median) 17,5 Tage online nachzuverfolgen. Inkludiert man Drawn Apart, so verbessert sich das Ergebnis um 67 Prozent auf 28 Tage.

Kommende GU-Schnittstellen wie etwa Web-GPU könnten nach Ansicht der Wissenschafter sogar noch schnelleres Fingerprinting und besseres Tracking ermöglichen. Sie rufen daher auf, dass sie vor ihrer Freigabe auf potenzielle Datenschutzrisiken analysiert werden. Sie haben ihre Ergebnisse zudem der Khronos Group übermittelt. Diese leitet die Entwicklung von Web GL und will gemeinsam mit den Browserherstellern und anderen Beteiligten nach Lösungen suchen. (gpi, 31.1.22)