Browser-Fingerprinting verfolgt Sie, nachdem Sie jeden Cookie gelöscht haben

WebGL-Fingerprinting funktioniert ähnlich, indem es die GPU nutzt, um eine 3D-Szene zu rendern und die Rendering-Artefakte auszulesen. Da GPUs verschiedener Hersteller identische Szenen mit subtil unterschiedlicher Gleitkomma-Arithmetik rendern, ist die Ausgabe stark hardwareabhängig. Eine Studie von Cao et al. aus dem Jahr 2018 zeigte, dass allein durch WebGL-Fingerprinting 99,2 % der Geräte in einer Stichprobe von 3.615 Nutzern unterschieden werden konnten.

AudioContext-Fingerprinting nutzt die Web-Audio-API, um ein kurzes Audiosignal über den Audio-Stack des Geräts zu verarbeiten. Unterschiedliche Hardware- und Betriebssystem-Audioimplementierungen erzeugen bei identischen Eingaben messbar unterschiedliche Gleitkomma-Ausgaben. Diese Technik wurde 2012 von Mowery und Shacham an der UC San Diego detailliert dokumentiert und ist nach wie vor weit verbreitet im kommerziellen Einsatz.

Schriftartenaufzählung erkennt, welche Schriftarten installiert sind, indem gemessen wird, wie der Browser Text in Schriftarten rendert, die er besitzt, im Vergleich zu solchen, die er nicht besitzt. Ein Angreifer versucht, Hunderte von Schriftarten zu messen; eine eindeutige Menge installierter Schriftarten ist stark identifizierend, da Schriftarteninstallationsmuster davon bestimmt werden, welche Software installiert ist – was für den jeweiligen Rechner eines Nutzers spezifisch ist.

Neben rendergestützten Techniken sammeln Fingerprinting-Skripte auch: Bildschirmauflösung und Farbtiefe, Zeitzonen- und Spracheinstellungen, Browser-Plugin-Liste, Hardware-Parallelität (Anzahl der CPU-Kerne), Gerätespeichergröße, HTTP-Accept-Language- und User-Agent-Header, Touch-Fähigkeit, Netzwerkverbindungstyp über die Network Information API und den Batterieladestand (bis Browser die Battery Status API etwa 2015–2016 speziell wegen Missbrauchs durch Fingerprinting einzuschränken begannen).

Kommerzieller Einsatz in großem Maßstab

FingerprintJS (jetzt Fingerprint Inc.) bietet eine kommerzielle JavaScript-Fingerprinting-Bibliothek an, die Stand 2024 von über 6.000 Unternehmen genutzt wird. Die Open-Source-Version hat über 21.000 GitHub-Sterne. Das Hauptargument des Unternehmens ist primär Betrugsprävention – das Erkennen, ob mehrere betrügerische Konten vom selben Gerät stammen – aber die Technologie ist architektonisch identisch mit dem, was Werbenetzwerke für websiteübergreifendes Tracking verwenden.

ThreatMetrix, erworben von LexisNexis Risk Solutions, betreibt ein Netzwerk zur Geräteerkennung, das von Finanzinstituten, Versicherungen und E-Commerce-Plattformen zur Bewertung von Transaktionsrisiken genutzt wird. Laut Unternehmensangaben von 2023 hat deren Netzwerk über 60 Milliarden Transaktionen verarbeitet und über 4 Milliarden Geräte erfasst. Wenn Sie sich online für ein Bankkonto bewerben und das Formular Sie bittet, einen Moment zu warten, während es „Ihre Informationen überprüft“, läuft im Hintergrund das Geräte-Fingerprinting-Netzwerk.

Der Einsatz in Werbenetzwerken ist schwieriger genau zu quantifizieren, aber der Crawl der Princeton Web Transparency and Accountability Projects der 100.000 meistbesuchten Websites aus dem Jahr 2022 fand Fingerprinting-Skripte auf über 30 % der Seiten – mit der höchsten Konzentration auf Nachrichtenseiten, Einzelhandelsseiten und Erwachseneninhalten. Google DoubleClick, Meta Pixel und mehrere Dutzend kleinere Ad-Tech-Unternehmen nutzen alle Canvas- und WebGL-Techniken als Teil ihrer websiteübergreifenden Identitätsgraphen, als Ergänzung zu (und zunehmend als Ersatz für) Drittanbieter-Cookies, da diese auslaufen.