Wischen, Tippen, Zoomen: Forscher tracken anhand von Touch-Gesten

Unsere Bewegungen auf dem Touchscreen sind so individuell, dass sie uns trackbar machen, zeigt ein kürzlich veröffentlichter Forschungsartikel. Obwohl gerade diese Art des Trackings große Risiken birgt, wird bisher wenig darüber gesprochen.

Das Tracking allein über Touch-Bewegungen scheint möglich und birgt viele Risiken. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Igor Starkov

So unverwechselbar und einzigartig wie unsere Handschrift sind auch die Bewegungen, die wir auf unseren Touchscreens machen – das behauptet zumindest ein Forschungsteam der australischen Commonwealth Scientific and Industrial Research Organisation (CSIRO). Ein im April veröffentlichter Artikel (pdf) zeigt auf, dass diese Bewegungsdaten so individuell sind, dass sie eine genaue Wiedererkennung von Usern und damit eine Form des Trackings ermöglichen: „[M]it unserer Methodologie können wir User mit einer Erfolgsrate von über 90% re-identifizieren“.

Um herauszufinden, wie hoch der Informationsgehalt der individuellen Touch-Daten wirklich ist, wurde die Anwendung TouchTrack entwickelt, die jetzt auch in Googles PlayStore verfügbar ist. In die App wurden mehrere kleine Open-Source-Spiele eingebunden, die über typische Touchbewegungen funktionieren. Die so abgegriffenen Daten von insgesamt 89 Versuchspersonen wurden dann mathematisch auf ihre Eindeutigkeit (Uniqueness) hin untersucht.

TouchTrack ermittelt über Touch-Bewegungen in Open-Source-Spielen und einem Schreibpad (oben), ob du über diese potenziell trackbar wärst. - Alle Rechte vorbehalten Screenshot

Das Ergebnis: Schon wenige Samples einer einzelnen Bewegung (zum Beispiel das Wischen nach links über den Bildschirm) enthalten signifikante Informationen über den User. Je mehr Daten verschiedener Bewegungen vorliegen, desto besser können User wiedererkannt werden. Wischbewegungen und die Handschrift auf dem Bildschirm sind besonders eindeutig. Tippbewegungen oder das Schreiben auf einer Touch-Tastatur eher weniger.

Sind unsere Touch-Daten schutzbedürftig?

Daten über unsere sogenannten Touch-Events – also unsere individuelle Bedienung von Touchscreens über Bewegungen wie Wischen, Tippen, Zoomen oder die „Handschrift“ auf dem Display – sind über Programmierschnittstellen (APIs) einfach zugänglich. Diese Programmierschnittstellen sind vorprogrammierte Funktionen, die eine Verständigung zwischen Hard- und Software ermöglichen, also beispielsweise zwischen Anwendung und Touchscreen.

Dass die Informationen darüber, wo und wie wir unseren Touchscreen berühren, so einfach zugänglich sind, ist nicht verwunderlich. Ansonsten könnten wir nicht mit unseren Apps auf Smartphones oder Tablets interagieren. Jedoch erlauben einige APIs auch das Abgreifen sehr spezifischer Details, bei denen es fragwürdig ist, ob eine App nicht auch ohne diese Informationen gut funktionieren könnte.

Die Forschungsergebnisse sind gerade deshalb so interessant, weil Touch-Daten so einfach abgreifbar sind und im öffentlichen Diskurs um Tracking und Privacy bisher wenig beachtet werden. Die Forscher weisen in ihrem Artikel auf eine Reihe von Besonderheiten und Risiken dieser Daten und des auf ihnen basierenden Trackings hin (eigene Übersetzung):

Im Vegleich zu „üblichen“ Tracking-Mechanismen, z.B. basierend auf Cookies, Browser-Fingerprints, Browser-User-Agents, Log-Ins und IP-Adressen, gibt es mehrere Faktoren, die das Tracking basierend auf Touch-Informationen potenziell riskanter machen. Während die anderen Mechanismen virtuelle Identitäten wie Online-Profile tracken, birgt „touch-based tracking“ das Potenzial, die eigentliche (physische) Person am Gerät zu tracken und zu identifizieren. Es kann mehrere User, die das gleiche Gerät verwenden, tracken und unterscheiden. Weiterhin erlaubt es das kontinuierliche Tracking von Usern und führt zum „cross-device tracking“, durch das ein User potenziell über mehrere mobile Geräte verfolgt werden kann.

Hassan Jameel Asghar stellte die Arbeit kürzlich im Rahmen eines Vortrags auf dem diesjährigen Privacy Enhancing Technologies Symposium vor (ab 2:45:00).

https://www.youtube.com/watch?v=TfBc8mj-2JY

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. schade, ich finde keinen verweis auf den quelltext der app … weder im artikel noch im pdf. schade.

  2. Sobald die Leute ordentlich Theater, Tanz und Schauspielerei gelernt haben ist das doch alles Humbug. Sprich die kriegen ja schon heute nur die …. Man muss aber zum Schutz der Bürger-Rechte sagen:

    Das ist meine Maus-Zeiger, Präsentation-Marker, Wischbewegungen, und die hat genauso niemand ohne Tatverdacht zu observieren oder ohne meine Einwilligung für eigene Zwecke zu nutzen und wenn ist’s, wie immer, ein massiver Eingriff in die Privatsphäre.

    Ansonsten kann ich alte Kung-Fu- und Charly Chaplin -Filme fürs Bewegungs-Training empfehlen. Lest auch noch mal was von Shakespear – es kann spätestens seit dem nämlich jedes Kind heulen ohne traurig zu sein.

    #MyMousePointer

  3. Alle nur noch mit Tails USB-Stick ins Internet gehen. Security Settings auf Safest stellen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.