Mobile Device Fingerprinting

Bachelor-Studiengang IT Security

Florian Gruber, BSc

Betreuer: Dipl.-Ing Peter Kieseberg

Ausgangslage

In der analogen Welt werden biometrische Fingerabdrücke von Personen bei der Aufklärung in der Kriminalistik verwendet, um den oder die Täter*innen zu identifizieren. In der digitalen Welt können sogenannte digitale Fingerprints verwendet werden, um wiederkehrende Benutzer oder Devices zu erkennen. Digitale Fingerprints werden in vielen Bereichen der digitalen Welt verwendet. Diese Bereiche erstrecken sich vom User-Tracking über Session-Management bis hin zu Fraud-Detection.

Ein digitaler Fingerprint ist ein Set an ausgewählten Charakteristiken, die dazu beitragen ein Gerät oder eine Applikations-Session zu identifizieren. Diese Charakteristiken können mithilfe passiven oder aktiven Fingerprinting extrahiert werden. Bei der Zusammenstellung eines robusten Fingerprints ist die Balance zwischen Stabilität und Diversität des zu generierenden Fingerprints zu finden.

Ziel

Ziel der Arbeit ist es, Charakteristiken aus den Bereichen „Mobile Browser Fingerprinting“ und „Mobile Device Fingerprinting“ zu definieren, die zur Erstellung von Fingerprints von Mobile Devices herangezogen werden können – unter der Beachtung, dass so wenig wie möglich personenbezogene Daten der Benutzer in dem Fingerprint inkludiert werden.

Ergebnis

Mithilfe der Analyse des Standes der Technik konnte in Erfahrung gebracht werden, dass ein Mobile Browser Fingerprinting zur Generierung eines stabilen und diversen Fingerprints nicht gut herangezogen werden kann und deshalb Mobile Device Fingerprinting verwenden werden sollte. Darauf hin wurden diverse personalisierte-, System- und Hardware Charakteristiken aus dem Bereich Mobile Device Fingerprint, die zur Generierung eines Fingerprints in die nähere Auswahl kommen ausgewählt. Um zu analysieren, ob sich diese ausgewählten Charakteristiken eignen, wurde eine App entwickelt, die in einer vier-wöchigen Studie Testdaten von diversen Geräten einholt.

Die Analyse der eingereichten Testdaten ergab, dass die Charakteristiken der Summe der installierten Apps, ein ausgewähltes Subset an installierten Apps, die Laufzeit des Geräts und der Beschleunigungs-Sensor sich gut eignen um für einem Fingerprint herangezogen zu werden. Diese Informationen können ohne Einholen einer Berechtigung in Erfahrung gebracht werden.

Anhand der durchgeführten Analyse kann gesagt werden, dass die Hinzuziehung von stabilen Charakteristiken, wie die installierten Apps, die Checksumme eines n-ten Bildes und der Beschleunigungs-Sensor zu einem einzigartigen Fingerprint beitragen. Indem stabile Charakteristiken verwendet werden, wird dem Fingerprinting-System die Möglichkeit gegeben, einen Fingerprint besser über einen Zeitraum hin einem Gerät zuzuordnen.