‘Nieuwe browser-tracking hack werkt zelfs in incognito-modus’

Abonneer je gratis op Techzine!

Websites bedenken steeds nieuwe methodes om hun bezoekers te volgen. Hiervoor worden nu ‘favicons’ uit de browser tabs ingezet. Dit ontdekten onderzoekers van de University of Illinois in Chicago.

Websites proberen met onder meer cookies hun bezoekers te volgen. Inmiddels zijn hiervoor voldoende beschermingsmethoden ontwikkeld, zoals advertentieblockers, anti-tracking browserextensies, privé- of incognito-sessies en natuurlijk het verwijderen van cookies.

Website-eigenaren proberen echter methoden te ontwikkelen om deze beschermingsmaatregelen te vermijden. Een nieuwe technologie die de Amerikaanse onderzoekers van de University of Illinois nu hebben ontdekt is het gebruik van de ‘favicons’, de kleine icoontjes die zich vaak in de browserbalk bij een website tonen of bij een bookmark in de favorietenlijst, aan te passen om bezoekers toch te blijven volgen. Favicons worden vooral gebruikt om websites te identificeren.

Manipulatie met speciale favicons-combinatie

De favicons zijn voor tracking te misbruiken door de manier waarop zij werken. De plaatjes van deze icoontjes worden normaal opgeslagen op een andere locatie dan die van de site data, browsegeschiedenis en de cookies. Deze cache wordt niet geleegd wanneer de zoekgeschiedenis en de cookies worden verwijderd of wanneer naar een privé- of incognito-modus wordt overgeschakeld.

De cache met de favicons kan nu zodanig worden gemanipuleerd door een specifieke combinatie van favicons op te slaan die gebruikers gedurende een lange periode kan identificeren. Deze speciale combinatie wordt opgeslagen wanneer bezoekers voor het eerst een website bezoeken. Bij een volgend bezoek wordt gecheckt of deze al in de cache zitten. Op deze manier wordt de browser herkend en kan dit naar de individuele bezoeker worden getraceerd. Ook als hij of zij maatregelen heeft genomen tegen tracking.

Daarnaast kunnen de favicons ook bezoekers ongemerkt en zonder toestemming van de bezoeker doorsluizen via een serie van subdomeinen voordat zij op de ‘juiste’ website uitkomen. Ieder subdomein plaatst weer zijn eigen favicon in de cache, zodat tracking nog meer plaatsvindt.

Toepasbaar op alle bekende browsers

De favicon-methode is inmiddels toepasbaar op alle bekende browers, zoals Chrome, Safari en Edge. Ook was de methode werkbaar voor de browser Brave, maar diens ontwikkelaars hebben hiertegen inmiddels maatregelen genomen. Ook Firefox is kwetsbaar, maar de techniek zou door een bug hiervoor nog niet echt werken.

In een reactie op het onderzoek van de University of Illinois geeft Google aan te werken aan een oplossing voor zijn Chrome-browser. Apple kijkt ook naar de uitkomsten van het onderzoek. Microsoft en Brave hebben nog niet gereageerd.