Browser fingerprinting – spårning i det dolda.
Spårning av internetanvändare via browser fingerprinting har historiskt sett inte fått lika mycket uppmärksamhet som spårning via till exempel cookies och IP-adresser.
Antagligen eftersom det inte är ett lika solklart fall som i just fallet cookies och IP-adresser. Din IP-adress är direkt kopplat till dig som person och ditt internetabonnemang. Cookies sparas ner lokalt på just din dator eller telefon. Det finns liksom inga tvivel på att de teknikerna identifierar just dig och kan användas för att förfölja dig över tid när du surfar på nätet. När det kommer till browser fingerprinting är det lite luddigare. Det gör det också till ett potentiellt större problem. Låt oss gräva lite i detta.
När du besöker en sajt ställer den flertalet frågor till din webbläsare. Till exempel vilken webbläsare du använder, vilken version av webbläsaren som du har uppdaterat till, vilka plugins du har installerat, vilka typsnitt du har laddat ner och vilken skärmupplösning du ställt in, men den ställer också frågor gällande din hårdvara; till exempel vilket grafikkort din dator har. De här frågorna ställs för att hemsidan ska kunna presenteras för dig på bästa sätt. Detta är en del av själva grundförutsättningarna för att internet ska fungera på ett användarvänligt sätt. Den här typen av teknik används också för andra goda ändamål, som att motverka olika typer av attacker. Men antalet frågor som ställs och kombinationen av svar kan också göra det möjligt att bygga ett så kallat browser fingerprint; en unik kombination av svar som gör det möjligt att identifiera dig.
Du kan bli spårad via browser fingerprints utan att du ens vet om det
Att browser fingerprints kan användas för att identifiera dig innebär att de kan användas för att spåra dig. Det är inte lika klarlagt i vilken utsträckning och omfattning som browser fingerprints används för att övervaka hela befolkningar och deras internetbeteende över tid – jämfört med till exempel tredjeparts-cookies och IP-adresser, där fallet är solklart. Men osäkerheten när det kommer till browser fingerprints ska inte tas som en garanti för att det är bättre ställt på den här punkten. Snarare tvärtom. I en tid då till exempel tredjeparts-cookies så smått börjar regleras och läggas under politisk och juridisk lupp är browser fingerprints mycket luddigare att rikta ljuset mot. De bygger helt enkelt på tekniker som är mycket svårare att lokalisera och reglera. Rent krasst: du kan bli spårad via browser fingerprinting utan att ens veta om det.
Om kombinationen av flera attribut gör dig unik, då kan din enhet bli identifierad och spåras. I så fall behövs inte tredjeparts-cookies, då räcker det med ditt browser fingerprint.
The Tor Project
“Det behövs inget godkännande för browser fingerprinting”
Lagstiftning gällande till exempel tredjeparts-cookies har tvingat stora techbolag som Google och Meta att betala stora bötesbelopp och de har börjat visa tendenser på att anpassa sig efter regleringar som kommer från till exempel EU. Vad de däremot inte har gjort är att förändra sin affärsidé, utan anpassningen ser snarare ut att handla om att hitta nya vägar till att samla in data. Det är ingen vild gissning att browser fingerprinting kommer att bli en mer och mer använd metod. Som Tor uttrycker det:
“Vad är det som gör browser fingerprinting till ett hot mot personlig integritet? Det är ganska enkelt. För det första: du behöver inte be om godkännande för att samla in den här informationen. Alla script som körs i din webbläsare kan i tysthet bygga ett fingeravtryck av din enhet utan att du vet om det. För det andra, om ett attribut i ditt browser fingerprint är unikt eller om kombinationen av flera attribut gör dig unik, då kan din enhet bli identifierad och spåras. I så fall behövs inte tredjeparts-cookies, då räcker det med ditt webbläsarfingeravtryck.”
Journalister, aktivister, företag och militärer som behöver kunna vara säkra på att deras kommunikation är konfidentiell och privat, måste ha med den här tekniken i åtanke när de planerar sin säkerhet.
Pierre Laperdrix, Nataliia Bielova, Benoit Baudry, Gildas Avoine.
Browser fingerprints har varit en del av privacy-diskussionen i 15 år och som Tor uttrycker det: “As the web is getting richer, new APIs make their way into browsers and new fingerprinting techniques are discovered.” Men det är egentligen inte förrän på senare år som diskussionen börjat ta fart på allvar. Som en akademisk undersökning vid universitet i Frankrike och Sverige slog fast 2020: “Journalister, aktivister, företag och militärer som behöver kunna vara säkra på att deras kommunikation är konfidentiell och privat, måste ha med den här tekniken i åtanke när de planerar sin säkerhet.”
En fjärdedel av världens största hemsidor använder sig av det
Att det går att använda browser fingerprints för att spåra människor är solklart. Den intressanta frågan är hur effektiv tekniken är för massövervakning. Det här är ganska outforskad mark, men det finns lite statistik att gå på. Under rubriken ”The Quiet Way Advertisers Are Tracking Your Browsing” berättar Wired om en undersökning där en fjärdedel av Alexas 10 000 mest populära sajter kör den här typen av fingerprint scripts. Eller som ZDNET uttryckte det när de rapporterade om att 10 procent av de 100 000 populäraste sajterna använder det: “Today, browser fingerprinting is commonly used by online advertisers as a next-gen user tracking mechanism.”
“Nästan etthundra procent av fingeravtrycken var unika”
Så, tekniken finns och den används. Men hur precis är den? Och hur bra är den på att spåra människor över tid? Redan 2010 kunde Electronic Frontier Foundation plocka ut unika fingerprints hos 94 procent av browseranvändare som använde Flash eller Java. Genom att följa användarna över tid, i takt med att deras fingerprint ändrade skepnad, kunde de också “gissa när ett fingeravtryck var en uppgraderad version av ett tidigare observerat fingeravtryck”. Hur ofta som gissningen var korrekt? I 99.1 procent av fallen.
2016 samlade forskare vid universiteten i Rennes och Lille in över hundratusen browser fingerprints och 90 procent av dem var unika.
Forskare vid Lehigh University och Washington University in St. Louis har också kunnat visa metoder som identifierar 99 av 100 användare.
Sofistikerad scanning av din dator eller telefon
Men hur går det här egentligen till? Till att börja med kan den här sortens teknik ställa de enkla frågorna till din webbläsare: vilken browser har du, vilka plugin är installerade och så vidare. Men det finns mer sofistikerade tekniker för att särskilja olika personer och deras enheter. En av de mer kända teknikerna kallas Canvas API och den här tekniken innebär helt enkelt att din webbläsare instrueras att rendera en specifik bild med text i olika färger med tillhörande emojis. Det låter helt absurt, men det är just emojis som används i det här fallet. Resultatet av av text + emojis lämnar ifrån sig information om ditt grafikkort och vilka typsnitt du har installerat.
Ytterligare en teknik kallas för WebGL. Där ber webplatsen din browser att rita en triangel i 3D. Samma sak här; för blotta ögat kanske det är svårt att se skillnaden på din triangel och andras, men dataanalysen säger annat. Tor kallar just WebGL för “one of the single largest fingerprinting threat browsers face”:
“Faktum är att hashen av den här renderade bilden kan användas för att identifiera dig nästan lika väl som en cookie”. På samma sätt finns det tekniker som använder AudioContext API där din browser lämnar ifrån sig en lågfrekvent signal som avslöjar ditt ljudkort och dess drivrutiner.”
Ännu mer sofistikerad är en teknik som kallas DrawnApart där forskare från Frankrike, Israel och Australien visat att det går att skapa distinkta fingerprints från användare med grafikkort (GPU) av samma modell. Forskarna skrev att \“även exakt samma typ av hårdvara kommer med små, små skillnader som orsakas av själva tillverkningsprocessen” och genom att mäta renderingssnabbhet kunde de få fram distinkta skillnader i hur snabba grafikkorten var. När de illustrerade skillnaderna på papper var de så stora att de till och med gick att se med blotta ögat.
“Browser fingerprints är här för att stanna”
Mullvad Browser är utvecklad i samarbete med Tor-projektet. Så vi avslutar med några ord från dem: “Är browser fingerprinting här för att stanna? I den närmaste framtiden, ja. Den här sortens teknik är rotad i mekanik som funnits sedan begynnelsen av internet, som är väldigt svåra att bli av med.”
Hur illa ställt är det egentligen med dagens datainsamling? Det är värre än du tror.
Vad händer med samhällen och människor i en värld där vi vet allt om alla?