De manier waarop je je muis beweegt op internet zou al genoeg kunnen zijn om je te tracken – en zelfs om je te identificeren.Een beveiligingsonderzoeker heeft een manier verzonnen om een unieke vingerafdruk te maken van gebruikers, die zelfs (of juist) gebruikt kan worden wanneer diegene de anonieme Tor browser gebruikt.Onderzoeker Jose Carlos Norte ontdekte dat een spion of hacker via Javascript, een alomtegenwoordige programmeertaal op het web die ook ingeschakeld is in Tor, een gebruiker van een zelf-beheerde site kan identificeren aan de hand van hun muisbeweging."Elke gebruiker beweegt hun muis op een unieke manier," vertelt Norte aan Motherboard. "Als je deze bewegingen kan observeren op genoeg pagina's die gebruiker buiten Tor bezoekt, kan je een unieke vingerafdruk maken voor die gebruiker. Dan kan je diegene ook in Tor identificeren, aan de hand van hun muisgedrag."
Advertentie
Norte heeft een proof of concept van deze techniek ontwikkeld, waarin hij laat zien welke unieke data muisbewegingen voortbrengt, en hoe die data gebruikt kan worden om een gebruiker te identificeren. De sleutel is de getClientRects, een API-element in de Tor Browser die gebruikt kan worden als vector voor vingerafdrukken, zegt Norte.Bekende beveiligingsexpert Mikko Hypponen noemde het "knap," maar niet iedereen vindt dat deze techniek zoals Norte 'm beschrijft effectief zal zijn.In dit geval "lijken de gebruikte technieken op hele simpele manier gebruikt, muisbewegingsanalyse is bekend in onderzoekskringen als een manier om gebruikers te differentiëren. Maar het blijft een uitdaging om ze effectief te gebruiken," zegt privacy- en beveiligingsonderzoeker Lukasz Olejnik aan Motherboard. "Als het beter wordt uitgevoerd, kan muistracking een vorm van gedragstracking worden.""Elke gebruiker beweegt hun muis op een unieke manier"
Olejnik legde uit dat men meer kenmerken, zoals versnelling en andere statistieken, nodig zal hebben om een unieke vingerafdruk aan een gebruiker te koppelen. Norte gebruikt daarentegen slechts een beperkte hoeveelheid informatie.De Tor Project reageerde niet op ons verzoek om commentaar, maar het lijkt erop dat ontwikkelaars hier naar kijken, volgens twee officiële bug-rapporten.Mocht je je nou toch zorgen maken dat je geïdentificeerd gaat worden aan de hand van je muisbeweging, is er een makkelijke oplossing."De enige oplossing is Javascript helemaal uit te schakelen," zei Norte. "Zo lang mensen Javascript gebruiken, zal het mogelijk zijn om je op een of andere manier te identificeren.""Zo lang mensen Javascript gebruiken, zal het mogelijk zijn om je op een of andere manier te identificeren."