De onthulling kwam uit een studie van de vermaarde afdeling Cosic (Computer Security and Industrial Cryptography) van de faculteit Esat (Elektrotechniek) van de Katholieke Universiteit Leuven, uitgevoerd met Princeton in de VS.
De Correspondent nam als eerste in Nederland een publicatie op ProPublica over deze studie over en daarop ook NRC Handelsblad. Helemaal nieuw is het niet. Al in 2012 is de technologie beschreven door onderzoekers van de University of California, onder de titel ‘Pixel Perfect: Fingerprinting Canvas in HTML5’: hoe verder browsers komen bij functies van het besturingssysteem van computers des te meer elementen daarvan bruikbaar zijn.
Websites kunnen met een grafisch element een soort vingerafdruk maken van de computer van een bezoeker, die op andere sites weer wordt herkend en gebruikt met aanvullende gebruiksdata. Een site laat de bezoekende browser een afbeelding maken van letters of geometrische figuren tegen een gekleurde achtergrond. Die is uniek op grond van ondermeer de unieke combinatie van grafische kaart, monitor en geïnstalleerde lettertypes.
Vrijwel geen computer is hetzelfde met deze elementen, dus er wordt een unieke code (‘hash’) gegenereerd die adverteerders over een serie van sites inzetten. Detectie is nog nauwelijks te doen omdat de afbeelding voor een kort moment wordt geproduceerd en verzonden.
Kat en muis
De Belgisch/Amerikaanse studie heeft als kern het gebruik van steeds geavanceerder technieken om data te graaien die zelfs voor computerdeskundige gebruikers moeilijk zijn te ontwijken. Laat staan voor de massa die al lang de buik vol heeft van het gedoe met cookies.
Zo behelst de studie ook de toepassing van de reeds bekende evercookie die doet wat de naam zegt: data van gebruikers vergaren en voorgoed bewaren ook als ze cookies van hun apparaat verwijderen. “Simply think of it as cookies that just won't go away.”
De onderzoekers vonden een nieuwe manier van gebruik van Evercookies, IndexedDB, waarbij gebruikers na het weigeren of weghalen van cookies toch bespioneerd bleven worden. Het past in de trend van ‘respawning’ cookies waarover al het nodige onderzoek is verschenen.
Dit is crimineel gedrag en simpelweg strafbaar, maar wordt zelden aangepakt. Toezichthouders richten zich eerder op het laaghangend fruit zoals recent de botsing van CBP en NPO aantoonde. Het is het thema waar Maarten Roelofs graag op mag wijzen.
De gevonden canvas fingerprint-cookie wordt gebruikt door 5 procent van de top 10.000 websites gemeten door Alexa. Daarbij ook ruim dertig Nederlandse websites zoals Buienradar.nl van RTL, Sbs6.nl, Tvgids.nl van Sanoma.
De stiekeme afname van data met een grafische afbeelding of vingerafdruk komt met name binnen via de veel gebruikte AddThis toevoeging. Die is bekend bij gebruikers van de rij sociale media icoontjes op webpagina’s.
AddThis zelf heeft inmiddels een verklaring uitgegeven: gebruik van de grafische methode betrof een test die duurde van februari tot juli 2014. Ze was bedoeld om een alternatief te vinden voor gebruik van cookies die meer en meer worden verboden of geblokkeerd. Ook Google en Microsoft testen zulke nieuwe methoden.
Behalve dat het een ‘test’ was passeert het bekende rijtje smoezen: data werden niet per persoon opgeslagen en gebruikt en niet toegepast voor op de persoon gerichte reclame. En er was altijd opt-out mogelijkheid.
Technische en juridische weerstand
Inmiddels begon ook het naarstig speuren naar remedies op gang gekomen. De eenvoudigste methode is geheel uitschakelen van JavaScript, maar onwenselijk vanwege het verliezen van belangrijke browserfuncties.
AddBlock Plus adviseert de EasyList toe te voegen aan haar cookieblokkeerder. Dat is vooral weggelegd voor deskundige gebruikers, maar niet voor de massa.
In FireFox is het gebruik van de plugin NoScipt effectief. Die wordt ook gebruikt door Kickstarter-project iCloak dat voorziet in optimale tools voor bescherming tegen datagraaien.
Dit berichtte The Blaze die zelf de vingerafdruktechnologie ook toepast vanwege affiliate marketing: de site moet zeker weten waar bezoek vandaan kwam om voor uitbetaling van affiliates die geld in het laatje brengen van The Blaze.
Voor degenen die de technische oplossingen niet kunnen hanteren, is er de wettelijke bescherming. Stiekem volgen mag niet, zo liet Arnoud Engelfriet van ICT Recht al weten in het NRC-artikel.
De populairste pornosite YouPorn gebruikte ook canvas fingerprinting, maar deelde ProPublica mee het voortaan te weren. Nu AddThis zich betrapt weet, zal het voorlopig het gebruik van de grafische afdruk van de computer laten rusten.