favicon-supercookie

Supercookie: Persistente Browser-Identifikation über Favicons

Wichtig: Brave schützt standardmäßig vor dieser Technik (partitionierter/isolierter Favicon-Cache, strengere Regeln im Privatmodus). In aktuellen Brave-Versionen funktioniert der hier beschriebene Ansatz nicht bzw. nur stark eingeschränkt.

Supercookie nutzt den Favicon-Cache moderner Browser, um Besuchern eine stabile, kaum löschbare Kennung zuzuweisen. Im Vergleich zu Cookies/LocalStorage bleibt die ID oft trotz Privatmodus, Cache-Löschungen, Neustarts, VPN und Adblockern rekonstruierbar. Live-Demos belegen das Konzept.

About

• Inspiration
  • Paper (University of Illinois, Chicago): https://par.nsf.gov
  • Artikel (heise): https://www.heise.de
• Purpose
  • Bildungs- und Demonstrationszwecke. Ziel: Sensibilisierung für Privatsphäre-Risiken durch Favicons.
• Dokumentation
  • Öffentlich verfügbare Forschungsberichte, Artikel und PoC-Repositories.

Kernidee

• Browser halten Favicons in einem separaten Favicon-Cache (F-Cache) mit URL-, Icon-ID- und TTL-Metadaten.
• Ausbleibende vs. stattfindende Favicon-Requests beim Seitenladen signalisieren, ob ein Icon bereits im F-Cache liegt.
• Eine Sequenz definierter Pfade/Subdomänen kodiert Bits via Hit/Miss und bildet eine stabile Client-ID.

Hintergrund: Favicon-Verhalten

• Einbindung:
  • Beispiel:
• Lookup:
  • Cache-Hit: kein Netz-Request.
  • Cache-Miss/abgelaufen: GET-Request zur Icon-Quelle.
• Persistenz:
  • Viele Browser behandeln den F-Cache getrennt von Website-Daten und teils unabhängig vom Modus.

Angriffsablauf

• Schreibphase (ID setzen)
  • Server führt durch N Pfade/Subpfade.
  • Für jedes Bit i: Icon bewusst cachen (1) oder nicht (0).
  • Umsetzung via differenzierten Antworten (200/404, gültiges/leeres Icon) und TTL-Steuerung.
• Lesephase (ID rekonstruieren)
  • Erneuter Besuch derselben Pfade.
  • Beobachtung:
    • Hit: kein Request → Bit=1 (je nach Kodierung).
    • Miss: Request → Bit=0.
  • Sequenz ergibt die ID.
• Eigenschaften
  • Funktioniert oft im Privatmodus.
  • Übersteht meist Cache-/Cookie-Löschung.
  • Unbeeindruckt von Fingerprinting-Schutz, da reines Cache-Seiteneffekt-Signal.

Threat Model

• Ziel
  • Wiederholbare Identifikation einzelner Browserinstanzen.
• Umgehung üblicher Schutzmaßnahmen
  • Privatmodus: häufig weiter identifizierbar.
  • Cache/Cookies gelöscht: ID bleibt oft erhalten.
  • VPN/Adblocker: wirkungslos gegen Cache-basierte Signale.
• Risiko
  • Korrelation von Besuchen über Zeit, Sites und Netzwerke möglich (je nach Einbettung/Cross-Site-Nutzung).

Vergleich: Cookies vs. Supercookie

Merkmal	Konventionelle Cookies	Supercookie (Favicon)
Identifikationsgenauigkeit	-	Sehr hoch
Funktioniert im Inkognito-Modus	❌	✅ (teils)
Persistenz nach Cache/Cookie-Löschung	❌	✅
Fenster-/Tab-übergreifende Erkennung	❌	✅
Wirksam trotz Anti-Tracking/Adblock	❌	✅

Hinweis: Details variieren stark je Browser/Version.

Kompatibilität (Stand Forschung/PoCs)

• Betroffen: Chrome, Firefox, Safari, Edge (Desktop), diverse Mobile-Browser; Verhalten variiert je Version/Plattform (z. B. Incognito-Isolation, TTL-Handling).
• Mit integriertem Schutz: Brave (aktuelle Versionen) durch partitionierten/isolierten Favicon-Cache und getrennte Behandlung im Privatmodus.
• Einzelne Builds anderer Browser reduzieren das Risiko durch F-Cache-Partitionierung oder restriktivere Regeln.

Skalierung und Performance

• Kapazität: 2^N IDs bei N Pfaden/Redirects.
• Latenz: linear in N.
• Optimierungen
  • Binärbäume/Chunking zur Reduktion von Requests.
  • TTL-Tuning für Balance aus Persistenz und Zuverlässigkeit.
  • Minimalistische Assets, konditionale Antworten, gezieltes Priming.

Demo- und Code-Hinweis (Ethik)

• PoCs/Demos sind öffentlich auffindbar (Forschung, Artikel).
• Keine konkreten Installations-/Betriebshinweise, keine Befehle/Konfigurationen hier.
• Nutzung nur legal, kontrolliert, zu Forschung/Aufklärung.

Abwehrmaßnahmen (für Browser- und Seitenbetreiber)

• F-Cache-Isolation
  • Partitionierung per Top-Level-Site (eTLD+1) oder Site-Key.
  • Strikte Trennung zwischen Privat- und Normalmodus.
• Ablauf- und Validierungsregeln
  • Kürzere/zufällige TTLs, verpflichtende Revalidierung.
  • Favicon-Lookups in Redirect-Kaskaden und Off-Origin-Kontexten einschränken.
• Policy-basierte Limits
  • Content-Security-Policy für icons.
  • Prefetch/Prerender-Regeln härten.
• Defensive Instrumentierung
  • Anomalien erkennen (viele Subpfade, systematische 404/200-Mixe).
  • Telemetrie für wiederkehrende Hit/Miss-Sequenzen.

Quellen

• Paper (University of Illinois, Chicago): https://par.nsf.gov
• Bericht (heise): https://www.heise.de
• Hintergrund: Issue-Tracker der Browser und Spezifikationsdiskussionen (öffentlich)

tags #supercookiefavicontrackingfingerprintingprivacybrowsercachesecurityinfosecwebsecuritybrave

Browser-Attacks-Overview