Grafikkarte als Fingerabdruck: Forscher zeigen, wie man im Netz erkannt werden kann

12
News Benjamin Gründken Als bevorzugte Quelle auf Google hinzufügen
Grafikkarte als Fingerabdruck: Forscher zeigen, wie man im Netz erkannt werden kann (1)
Quelle: AMD

Übertakter wissen, dass eigentlich identische Grafikkarten unterschiedliche Übertaktungsergebnisse erzielen. Das liegt an Fertigungsschwankungen bei der Produktion komplexer Mikrochips. Diese Schwankungen haben sich nun Forscher zunutze gemacht, um GPUs auf Basis einer gängigen API einen einzigartigen Fingerabdruck zuzuordnen. Die Folgen für die Privatsphäre muten katastrophal an.

Ein internationales Forscherteam aus Frankreich, Israel und Australien hat eine Technik entwickelt, mit der man einen Nutzer anhand seiner Grafikkarte im Internet erkennen kann. Das Grundprinzip dürfte Overclockern durchaus vertraut sein. So haben Fertigungsschwankungen zur Folge, dass eigentlich identische Grafikkarten unterschiedliche Taktraten und Spannungen vertragen. Und genau diese Fertigungsschwankungen sind es, die GPUs im Netz identifizierbar machen. Im Prinzip erhält so jeder Chip seinen eigenen Fingerabdruck.

Ihre GPU-Fingerprinting-Technik hat das Forscherteam Drawnapart getauft. Dabei handelt es sich um einen Ansatz, der auf WebGL (Web Graphics Library) aufbaut, also keinen Schadcode, den man erst einschleusen müsste. WebGL ist eine plattformübergreifende, weitverbreitete API, mit der die GPU Grafiken im Webbrowser rendert. Bei Drawnapart zweckentfremdet man WebGL nun, um die Hardware gewissermaßen zu vermessen. Ausführungseinheiten und ihr Tempo werden dabei detailliert erfasst, wobei 176 Messungen an 16 Datensammelpunkten stattfinden. Kurze GLSL-Programme führen hierbei Berechnungen aus, die nur von der GPU über den Vertex-Shader berechnet werden können.

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.
Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.

Anhand verschiedener, individueller Parameter soll sich eine GPU und letztlich auch ihr Nutzer individuell zuordnen lassen - selbst wenn es sich in allen Fällen um die gleiche GPU handelt, etwa eine Radeon RX 6800 XT oder eine Geforce RTX 3080. Besagte Fertigungsschwankungen sorgen dafür, dass jeder Chip seinen eigenen Fingerabdruck erhält.

Grafikkarte als Fingerabdruck: Studie als Warnung für rechtzeitige Gegenmaßnahmn

Die Forscher weisen darauf hin, dass sie den Fingerabdruck eines Grafikprozessors in nur acht Sekunden erstellen konnten. Bei der kommenden WebGPU-API könnte Drawnapart zudem ein deutlich leichteres Spiel haben. So ergab eine Simulation mit Compute-Shadern, dass die GPU bereits nach 150 Millisekunden genaustens erfasst wurde. Auch stieg die Genauigkeit der Klassifizierung auf 98 Prozent.

Ebenfalls interessant: Nvidia Hopper: Die rund 20 Prozent größer als bei Ampere?

Wer nun um seine Daten bangt, sollte wissen, dass das Forscherteam seine Studie ganz bewusst als Warnung verfasst hat. Nutzer und Hersteller sollen rechtzeitig auf die Gefahr aufmerksam gemacht werden, bevor Dritte damit anfangen, heimlich einen Fingerabdruck zu erstellen. Und so steht man auch schon mit Softwareanbietern in Verbindung. Die Khronos Group, welche für die Entwicklung der WebGL-Bibliothek verantwortlich zeichnet, hat beispielsweise eine Arbeitsgruppe gebildet, die Lösungen zur Abschwächung der Drawnapart-Technik untersucht. Auch das internationale Forschungsteam präsentiert in seinem Paper verschiedene potenzielle Lösungen für das Problem.

Quelle: Arxiv

12

    • Kommentare (12)

      Zur Diskussion im Forum
      • Von Incredible Alk Flüssigstickstoff-Guru (m/w)
        Zitat von PCGH_Torsten
        Mit der hier gezeigten Technik kann dagegen auch die private Browser-Session auf Seite X(XX) dem Log-In auf Seite Y vom Vortag und somit einer Realidentität zugeordnet werden.
        Ich wusste, dass ich irgendwann nen Zweitrechner für die ganzen Pr0ns brauchen würde.

        Aber im Ernst, klar, die Technik ist ein weiterer Puzzlestein des großen Datensammelns bzw "Vergläserung" des Bürgers. Die Möglichkeiten sind da so immens und heutzutage ohnehin nicht mehr ohne extremen Aufwand und auch großen Nachteilen vermeidbar dass es mir schon etwas vor der Zukunft graut. Nicht, weil es grundsätzlich böse oder schlimm wäre (das elende nichts-zu-verbergen-Pseudoargument) sondern weil das mögliche Schadenspotential (auch das unabsichtliche!) immens hoch wird.
        Zitieren
      • Von Incredible Alk Flüssigstickstoff-Guru (m/w)
        Zitat von PCGH_Torsten
        Mit der hier gezeigten Technik kann dagegen auch die private Browser-Session auf Seite X(XX) dem Log-In auf Seite Y vom Vortag und somit einer Realidentität zugeordnet werden.
        Ich wusste, dass ich irgendwann nen Zweitrechner für die ganzen Pr0ns brauchen würde.

        Aber im Ernst, klar, die Technik ist ein weiterer Puzzlestein des großen Datensammelns bzw "Vergläserung" des Bürgers. Die Möglichkeiten sind da so immens und heutzutage ohnehin nicht mehr ohne extremen Aufwand und auch großen Nachteilen vermeidbar dass es mir schon etwas vor der Zukunft graut. Nicht, weil es grundsätzlich böse oder schlimm wäre (das elende nichts-zu-verbergen-Pseudoargument) sondern weil das mögliche Schadenspotential (auch das unabsichtliche!) immens hoch wird.
        Zitieren
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Zitat von Incredible Alk
        Und wie lange ist der Fingerabdruck gültig und reproduzierbar? Da GPUs wie alle Chips ihre Eigenschaften verschleißbedingt ständig minimal verändern und solche Fingerabdrücke sehr kleine Differenzen ausnutzen müssen würde ich mal behaupten dass die gleiche Grafikkarte nach 3 Monaten weiterer Nutzung durchaus eine andere Identität annehmen könnte...

        Früher haste die Kiste formatiert um sie zu anonymisieren, jetzt musste noch ne Woche Furmark ballern
        Nach einer Online-Session den PC 3 Monate lange Furmark ballern zu lassen, ehe man erneut damit ins Internet geht, dürfte unpraktikabel sein. Wenn man dagegen regelmäßig fingerprinted wird, kann der Tracker die schleichenden Veränderungen berücksichtigen und ein kontinuierliches Profil aufzeichnen. Bedrohung für die Privatsphäre geht letztlich ohnehin von den großen Datenkraken aus, deren Dienste in der Regel mehrfach pro Stunde direkt oder indirekt in Anspruche genommen werden und nicht von einem kleinen Einzelseitenbetreiber, der einen nach 8 Wochen wiedererkennen könnte, wenn man noch einmal das gleiche Online-Angebot nutzt.

        Zum Beispiel Google dürfte es dagegen relativ egal sein, wie sehr sich die Signatur deiner Grafikkarte nach mehreren Wochen ändert, denn über Nutzungsmuster, Mobilgeräte oder noch banaler Account-Zwänge ist jeder Anwender auch mehrere Quartale später wiedererkennbar, wenn er auf die einschlägigen Angebote zugreift. Aber abseits dieser war es bislang maximal über die IP möglich, ohne Cookies zu tracken und so die Erfassungslücken außerhalb des eigenen Angebots zu schließen. Mit der hier gezeigten Technik kann dagegen auch die private Browser-Session auf Seite X(XX) dem Log-In auf Seite Y vom Vortag und somit einer Realidentität zugeordnet werden.
        Natürlich alles nur, um mit den interessantesten Produkthinweisen beglückt zu werden.
        Zitieren
      • Von facehugger Trockeneisprofi (m/w)
        Wer finanziert "sowas" oder gibt diese Forschung in Auftrag Wir sollten uns besser um wichtigere Dinge kümmern, als Graka`s weltweit in kurzer Zeit erkennen zu können. Aber richtig, da finanzieren wir eher solche unnützen Studien, als das wir uns um die essentiellen Dinge zu kümmern. Rettet den Planeten (am besten vor uns selbst) und so...

        Aber wieder richtig, hauptsache Hinz in Karlsruhe weiß, was Kunz in gerade jener Millisekunde in Kuala Lumpur so alles treibt. Das ist überlebenswichtig

        Gruß
        Zitieren
      • Von KasenShlogga Software-Overclocker(in)
        Jedes Gerät, dass an den Computer angeschlossen ist, lässt sich anhand der einzigartigen Device-ID identifizieren und verfolgen. Das Fängt schon bei der Maus und der Tastastur an. All das kann über Javascript abgefragt werden. Wer heutzutage noch glaubt mann könnte es irgendwie verhindern im Internet getrackt zu werden, lebt gefährlich naiv.
        Zitieren
      • Von Gast1664917803
        Zitat von h_tobi
        Die Chinesen wirds freuen...
        und die Amis und die Russen und alle anderen Länder die gerne "bestimmte" israelische Software kaufen und den Heinz und die ...
        Zitat von B00ya
        Macht nen Anti Cheat und Permaban drauß!!!
        leider sind die Cheater fix und passen einfach ihre Karten den gegebenen Umständen an, da wird dann eben noch ein Programm laufen gelassen, das den Takt gezielt manipuliert.
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 06/2026 play5 07/2026 N-Zone 06/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen AGB Inhalt melden Newsletter