Onderzoek: Anti-trackingtools zijn effectief om volgen door sites tegen te gaan

Een onderzoek dat is uitgevoerd door twee onderzoekers van de universiteit van Princeton wijst uit dat anti-trackingtools een effectief middel zijn om volgen door websites tegen te gaan. In het kader van het onderzoek werden de miljoen populairste sites onderzocht.

Deze sites komen voort uit de database die wordt bijgehouden door Alexa. Het doel van het onderzoek was om na te gaan op welke manier deze sites gebruikers volgen aan de hand van tracking cookies en browser fingerprinting. Om het onderzoek uit te voeren maakten Steven Englehardt en Arvin Narayanan gebruik van de opensourcetool OpenWPM. Deze tool is gebaseerd op Firefox en is in staat om geautomatiseerd op grote schaal te functioneren.

De onderzoekers testten de effectiviteit van cookieblockers door te kijken naar de ingebouwde Firefox-functie en naar tools van derden, zoals Ghostery en uBlock Origin. Daarbij stelden zij vast dat de ingebouwde Firefox-functie zeer effectief is tegen het plaatsen van third party tracking cookies door websites: slechts 0,4 procent van de onderzochte sites plaatste na inschakeling een dergelijke cookie, en meestal om legitieme redenen. De soortgelijke extensie Privacy Badger wordt niet genoemd in het onderzoek; ook het feit dat Ghostery bepaalde gegevens doorverkoopt, komt niet aan de orde.

Met Ghostery bleek het gemiddelde aantal trackers van derde partijen te dalen van 17,7 naar 3,3. Ook bleek dat de tool uitzonderingen maakt voor content delivery networks, zoals cloudflare.com en maps.google.com en daarmee doet wat hij belooft. Ghostery bleek wel moeite te hebben met minder bekende trackers; dit heeft er volgens de onderzoekers mee te maken dat de blocklists met de hand worden opgesteld.

De derde partijen die het meest op de onderzochte sites aanwezig zijn, worden door de onderzoekers geïdentificeerd als Google, Facebook en Twitter. Samen zijn dit de enige drie bedrijven die voorkomen op meer dan 10 procent van alle sites. De rest van de partijen blijft onder dat percentage. Daar komt bij dat 12 van de 20 meest op sites voorkomende domeinen aan Google toebehoren. Daarbij valt het de onderzoekers op dat veel domeinen niet in een 'tracking context' voorkomen, waaruit zij afleiden dat er geen sprake is van een 'explosie van tracking door derde partijen'.

Meestvoorkomende derde partijen, 'first parties' staat voor de websites waarop deze aanwezig zijn

De onderzoekers stelden ook vast dat nieuwswebsites het meest gebruikmaken van trackers. Zij verklaren dit doordat dergelijke sites inkomsten moeten behalen uit de aanwezige content. Deze bevinding onderbouwen zij met het feit dat trackers minder vaak voorkomen op sites van overheden en non-profit-organisaties, omdat deze andere of geen inkomstenbronnen hebben. Uit het onderzoek blijkt ook dat pornosites het minst gebruikmaken van trackers.

Daarnaast vinden Englehardt en Narayanan dat de derde partijen een negatieve invloed hebben op de introductie van https, doordat zij in 54 procent van de gevallen content via een onbeveiligde http-verbinding aanleveren. Dit heeft tot gevolg dat een https-site met passieve 'mixed content' te maken krijgt, waardoor de browser bijvoorbeeld een waarschuwing toont.

De onderzoekers waarschuwen ook dat 'cookie syncing' in veel gevallen voorkomt. Daarbij deelt een tracker ongemerkt een user id met een andere tracker, bijvoorbeeld door deze op te nemen in de url van het verzoek aan de andere tracker. Deze praktijk, die een inbreuk kan vormen op de persoonlijke levenssfeer van de gebruiker, komt voor bij 460 van de 1000 meestvoorkomende derde partijen en is daarmee wijdverspreid.

Tot slot schenken de onderzoekers aandacht aan browser fingerprinting, waarbij er geen cookie nodig is om een gebruiker te identificeren. Bij deze techniek wordt de gebruiker geïdentificeerd aan de hand van de eigenschappen van de browser, bijvoorbeeld door te kijken naar de geïnstalleerde fonts of door canvas fingerprinting. Deze laatste vorm, zo blijkt uit het onderzoek, wordt minder ingezet en komt met name voor om fraude te bestrijden.

De onderzoekers vonden ook een nieuwe vorm van fingerprinting aan de hand van een audio-api, waarbij er met een oscillator een geluidssignaal wordt opgewekt. De hash van dit signaal kan vervolgens ingezet worden om een gebruiker te identificeren. Bij deze techniek is geen toegang nodig tot de microfoon. Er waren echter slechts 67 sites, die deze methode gebruiken.