Canvas fingerprinting, de nieuwe cookies?

24 jul 2014 /

Canvas fingerprinting

The Telegraph wijdt vandaag een artikel aan het zogenaamde ‘canvas fingerprinting’, een nieuwe technologie die door adverteerders aangewend wordt om iedere beweging van gebruikers online te kunnen volgen. Nadat de EU besloot strenger op te treden tegen het gebruik van cookies die ons op het web kunnen traceren, begon de zoektocht naar een waardige vervanger. Nieuw onderzoek toonde aan dat deze vervanger al bestaat én gebruikt wordt door duizenden websites, inclusief de website van President Obama, Whitehouse.gov.

Voor adverteerders is het zeer belangrijk om te weten welke websites jij bezoekt: weten wat je leest geeft hen tips over wat je misschien wel zou willen kopen. Zoek naar ‘televisierecensies’ via Google en de volgende keer dat je het nieuws leest zal je aan de zijkant van de pagina misschien wel reclame zien voor het nieuwste breedbeeld televisiemodel. Dat is allesbehalve toeval.

Adverteerders gebruiken cookies om dit te doen. Cookies zijn kleine tekstbestanden die bewaard worden in een map op jouw computer en die nagaan welke websites je bezoekt en welke content je te zien krijgt. Het is mogelijk om dit systeem uit te schakelen, maar daarvoor moet je zelf proactief cookies uitschakelen in jouw browser, anders gebeurt het proces standaard.

In mei 2012 trad de nieuwe EU wetgeving in werking die een expliciete opt-in vereiste vooraleer cookies gecreëerd konden worden. Dit moest minder technisch aangelegde mensen helpen hun privacy te beschermen, maar het had als onbedoeld gevolg dat adverteerders een race begonnen om nieuwe, ongereguleerde manieren om mensen te volgen uit te vinden. En dat brengt ons bij het zogenaamde ‘canvas fingerprinting’.

Net zoals cookies, zorgt deze techniek ervoor dat derde partijen kunnen traceren welke websites je bezoekt en wanneer, maar het omzeilt ook de vervelende EU wetgeving, aangezien men bij deze methode geen bestanden op je computer plaatst. Canvas fingerprinting werkt doordat het de browser vraagt om een kleine afbeelding op het scherm te tekenen wanneer je een website bezoekt. Bepaalde unieke karakteristieken van jouw browser en computer maken dat deze afbeelding op een bijna unieke manier wordt getekend, waardoor deze gebruikt kan worden om jou te identificeren.

De afbeelding wordt dan geanalyseerd en omgezet in een nummer via enkele slimme wiskundige berekeningen, waarna het teruggezonden wordt naar een derde partij. Websitebezoekers met een specifiek nummer kunnen dan gegroepeerd worden zodat er een bepaald profiel ontstaat. Het is dus best mogelijk dat we binnenkort terug gekatapulteerd worden naar de dagen van de ongereguleerde cookies.

De techniek omzeilt niet alleen de EU wetgeving, maar ontsnapt ook aan de impact van bijna alle methoden om privé te surfen. De incognito of privé modus, die door heel wat browsers aangeboden wordt, zal de praktijk niet voorkomen, net zoals ad blocking software dat ook niet kan. Er is helemaal geen speciale instelling in jouw browser die je kan gebruiken om canvas fingerprinting uit te schakelen. Kan je dit dan helemaal niet tegenhouden? Jawel, maar deze methoden vragen heel wat werk en zijn niet ideaal voor de minder technisch vaardige personen onder ons. Het anonieme browsing netwerk TOR kan canvas fingerprinting bestrijden, net zoals het gebruiken van de Chamelon browser, maar beide vereisen heel wat technische expertise om op te zetten. Dit kan natuurlijk nog veranderen, aangezien nieuw bewijs heeft aangetoond dat de techniek al in gebruik is op grote delen van het web.

De fingerprinting techniek is uitgevonden door onderzoekers van de Universiteit van California, San Diego, in 2012, en wordt inmiddels gebruikt in tal van commerciële producten van bedrijven, waaronder AddThis. In een academische studie die binnenkort gepubliceerd wordt, tonen onderzoekers van de Katholieke Universiteit Leuven en Princeton University aan dan 5,5% van de top 100 000 sites in de Alexa Ranking reeds gebruik maakt van canvas fingerprinting. Van deze websites gebruikt een groot aantal (95%) codes van AddThis – een bedrijf dat widgets voor social media sharing voorziet. Deze knoppen laten de gebruiker toe om snel en eenvoudig links te delen op Facebook of Twitter. Door deze activiteit is AddThis een grote speler op veel delen van het web – het bereikt elke maand 1,6 miljard verschillende internetgebruikers, over wel 14 miljoen verschillende domeinnamen. Sites die deze code gebruiken zijn onder meer whitehouse.gov en de pornogigant YouPorn.com, zo stellen de onderzoekers.

De aanpak van het bedrijf betreffende canvas fingerprinting werkt als volgt: het vraagt de browser om de zin “Cwm fjordbank glyphs vext quiz” te tekenen, waarbij elke letter van het alfabet precies één keer wordt gebruikt, op een klein, onzichtbaar stukje van de website. De zin gaat volledig op in de achtergrond, waardoor je deze nooit te zien krijgt.

AddThis zegt dat als gebruikers een opt-out cookie installeren op hun computer, de verzamelde data niet gebruikt zal worden voor gerichte reclame. Het gebruik van de techniek was simpelweg een test voor onderzoek- en ontwikkelingsdoeleinden, zo stelt het bedrijf. Volgens rapporten van ProPublica heeft het bedrijf geen enkele website op de hoogte gebracht dat het begonnen is met het uitvoeren van tests waarbij de canvas fingerprinting technologie gebruikt wordt. Zo verklaarde een vertegenwoordiger van YouPorn.com dat de site zich er niet bewust van was dat AddThis tracking software bevat die de privacy van haar gebruikers potentieel in gevaar zou kunnen brengen. YouPorn heeft dan ook alle AddThis technologie van haar site verwijderd. AddThis zelf wenste niet te reageren.

Deze bijdrage is een vertaling van het artikel ‘The new technology which advertisers use to track your every movement online: canvas fingerprinting’, verschenen in The Telegraph op 24 juli 2014.