Web-Nutzer verfolgen per Soundkarte?


Für die Werbenetzwerke, die den Anzeigenmarkt des Internet beherrschen, ist es höchst interessant zu erfahren, welche Websites ein Anwender besucht und welche Seiten er dort wie lange aufruft. Auf diese Weise lassen sich Profile anlegen, die viel über persönliche Vorlieben und Gewohnheiten verraten und es erlauben, die Benutzer mit auf sie zugeschnittener Werbung zu versorgen. Traditionell verwenden die Netzwerke Cookies für das Tracking, also das Nachverfolgen der Website-Besucher. Allerdings haben mittlerweile viele Anwender die Annahme dieser Dateien per Browser-Einstellung blockiert.

Die Werbeindustrie sucht also nach neuen Tracking-Methoden und ist jetzt offenbar auf die Identifikation über das Audioprofil eines Computers gestoßen. Das hört sich zunächst nach Paranoia und Verschwörungstheorie an, hat jedoch einen handfesten Hintergrund.
Das Verfahren basiert auf der Web Audio API, die das World Wide Web Consortium (W3C) im vergangenen Jahr standardisierte. Sie ist auch als AudioContext API bekannt und ermittelt eine Art akustischen Fingerabdruck eines Computers.

Keine Soundausgabe nötig

Dazu muss noch nicht einmal ein Sound abgespielt oder aufgezeichnet werden – das Profil entsteht allein aus dem Audio-Stack des PCs, und der hängt wiederum von der installierten Audio-Hardware und -Software ab. Auf einer Demoseite im Internet lässt sich studieren, wie das aussieht. Sie wurde erstellt durch eine Projektgruppe an der amerikanischen Princeton University, die das Tracking von Benutzerdaten auf Webseiten untersucht. Mitte Mai veröffentlichte sie die Ergebnisse aus ihrer Analyse von einer Million Websites. Nachlesen lassen sie sich in einer Zusammenfassung auf einer eigenen Site und in einem PDF-Dokument.

Beim Crawling des Web fand die Forschungsgruppe insgesamt 382 Sites, die Audio-Fingerprinting-Code enthielten. Bei den meisten wurde die Technik jedoch entweder nicht aktiv eingesetzt oder sie checkten einfach nur das Vorhandensein eines AudioContext und fügten diese Information einem allgemeinen Profil hinzu. Zumindest derzeit wird diese Methode noch nicht im großen Stil verwendet. Was nicht heißt, dass das so bleiben wird.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (1)

  1. August Grasl sagt:

    Mein Malwarebyte Schutz hat gerade folgendes Abgefangen und eliminiert: Ich habe alles in eine Excel Datei gelegt.
    Ständig bin ich mit solchen Problemen konfrontiert. Habe gerade 2 Fälle gefunden, die mir suspekt vorkommen. Ich habe sie in eine Word- und eine Excel Datei gespeichert. Zur Kontrolle kann ich sie zusenden. Vielleicht kann man etwas dazu beitragen, die Sicherheit zu erhöhen, in dem man typische Vorfälle auch meldet. Ist interessant, dass gerade von Amazon so etwas daherkommt.

Skip to main content