2587269

Sicherheitslücke aktueller Browser ermöglicht Nutzer-Tracking

18.05.2021 | 17:00 Uhr | Stephan Wiesend

Per Scheme Flooding ist es möglich, einen Nutzer über mehrere Browser ohne sein Wissen hinweg zu verfolgen.

Für Werbefirmen und auch Hacker ist es wichtig, den Besucher einer Webseite identifizieren zu können. Aktuelle Browser und auch VPN-Dienste versprechen zwar, die Privatsphäre eines Surfers zu schützen, laut Konstantin Darutkin von FingerprintJS haben aber die wichtigsten aktuellen Browser eine leicht ausnutzbare Schwachstelle. Neben Chrome, Tor und Firefox ist auch Safari betroffen – sogar besonders stark. Der Hintergrund der Schwachstelle sind sogenannte URL-Schemes: Klickt man beispielsweise auf einen Link der mit itms-apps:// statt http:// anfängt, öffnet sich statt einer Webseite eine Seite in der App-Store-App, bei skype:// öffnet sich die App Skype. Über ein Javascript kann eine Webseite nun durch das Durchprobieren dieser Adressen überprüfen, ob bestimmte Apps auf dem Rechner des Webseitenbesuchers installiert sind und daraus ein Benutzerprofil erstellen. Der Nutzer kann dann leichter wiedererkannt werden. Aufschlussreich sei dabei etwa, ob eine Entwicklerumgebung installiert sei. Aber auch die Installation von Telegram oder die Spieleplattform Steam könnte abgefragt werden und anhand der App-Liste so ein Profil oder auch Einschätzung des Nutzers erstellt werden – ein Profil, das auch über mehrere Browser konstant bleibe.

Laut Darutkin schneidet von den getesteten Browsern Chrome noch am besten ab, hier hätten die Entwickler bereits Schutzfunktionen gegen dieses „Scheme Flooding“ integriert. Dies ließ sich aber durch einen zusätzlichen Trick mit Erweiterungen umgehen. Besonders schlecht schnitt hier dagegen Safari ab, das keinen Schutz gegen diese Angriffsmethode biete. Aber auch Firefox und die auf Firefox basierende Browser-Version von Tor ließen sich überlisten. Die Prüfung läuft hier besonders langsam, allerdings kann die Prüfung komplett im Hintergrund laufen, ohne dass der Nutzer etwas bemerkt.

Die Entwickler der Browser wurden bereits benachrichtigt, über eine Demo-Seite kann man diese Abfragemethode testen (Die Seite funktioniert allerdings nur am Desktop.) Über die Webseite prüft ein Skript, welche Apps von einer Liste an 24 Apps auf dem eigenen Rechner installiert sind. Vielleicht erklärungsbedürftig: FingerprintJS ist ein Dienstleister, der mit seiner Lösung Webseitenbetreibern beim Identifizieren von Besuchern hilft – um sie vor Angreifern zu schützen. Nach eigenen Angaben nutzt das Unternehmen aber andere Methoden als die beschriebene Sicherheitslücke.

PC-WELT Marktplatz

2587269