In jeder Unterhaltung über Internetsicherheit werden einige Dinge zu hören sein. Eine der ersten wäre die Verwendung eines Passwort-Managers. Ich habe es gesagt, die meisten meiner Kollegen haben es gesagt, und wahrscheinlich haben Sie es gesagt, während Sie jemand anderem dabei geholfen haben, die Sicherheit ihrer Daten zu gewährleisten. Es ist immer noch ein guter Rat, aber eine kürzlich durchgeführte Studie des Center for Information Technology Policy der Princeton University hat ergeben, dass der Passwort-Manager in Ihrem Webbrowser, den Sie möglicherweise verwenden, um Ihre Informationen privat zu halten, auch Werbefirmen hilft, Sie im gesamten Web zu verfolgen.
Es ist von allen Seiten ein beängstigendes Szenario, vor allem, weil es nicht einfach zu beheben sein wird. Was passiert, ist nicht das Stehlen von Anmeldeinformationen - eine Anzeigenfirma möchte nicht Ihren Nutzernamen und Ihr Passwort - sondern das Verhalten, das ein Passwort-Manager verwendet, wird auf sehr einfache Weise ausgenutzt. Eine Werbeagentur platziert ein Skript auf einer Seite (zwei davon sind AdThink und OnAudience), die als Anmeldeformular fungiert. Es ist kein echtes Anmeldeformular, da es Sie nicht mit einem Dienst verbindet, sondern "nur" ein Anmeldeskript ist.
Wenn Ihr Passwort-Manager ein Anmeldeformular sieht, gibt er einen Benutzernamen ein. Getestete Browser waren: Firefox, Chrome, Internet Explorer, Edge und Safari. Chrome beispielsweise gibt das Kennwort erst ein, wenn der Benutzer mit dem Formular interagiert, gibt jedoch automatisch einen Benutzernamen ein. Das ist in Ordnung, weil das alles ist, was das Skript will oder braucht. Andere Browser verhielten sich erwartungsgemäß genauso.
Sobald Sie Ihren Benutzernamen eingegeben haben, werden dieser und Ihre Browser-ID in einer eindeutigen ID zusammengefasst. Sie müssen nichts auf Ihrem Computer oder Telefon speichern, da Sie beim nächsten Besuch einer Website, die dieselbe Anzeigenfirma verwendet, ein anderes Skript als Anmeldeformular erhalten und Ihren Benutzernamen erneut eingeben. Die Daten werden mit den Akten verglichen, und et voilà hat eine eindeutige Kennung an Sie angehängt, mit der Sie über das Internet verfolgt werden können (und werden). Und das funktioniert, weil dies ein erwartetes und "vertrauenswürdiges" Verhalten ist. Neben einer Roadmap Ihrer Internetgewohnheiten umfassen die an diese UUID angehängten Daten auch Browser-Plugins, MIME-Typen, Bildschirmabmessungen, Sprache, Zeitzoneninformationen, Benutzeragentenzeichenfolge, Betriebssysteminformationen und CPU-Informationen.
Die Heuristiken, mit denen festgelegt wird, welche Anmeldeformulare automatisch ausgefüllt werden, variieren je nach Browser. Grundvoraussetzung ist jedoch, dass ein Feld für den Benutzernamen und das Kennwort verfügbar ist
Es funktioniert aufgrund der so genannten Same Origin Policy. Wenn Inhalte aus zwei verschiedenen Quellen präsentiert werden, ist dies nicht als vertrauenswürdig anzusehen. Sobald jedoch eine Quelle als vertrauenswürdig eingestuft ist, wird auch der gesamte Inhalt für die aktuelle Sitzung als vertrauenswürdig eingestuft (Vertrauen in diesem Sinne bedeutet, dass Sie den Inhalt gezielt anzeigen oder damit interagieren). Sie haben Ihren Browser auf eine Webseite geleitet und mit einem Anmeldeformular auf dieser Seite interagiert, sodass alles als vertrauenswürdig behandelt wird, während Sie auf der Seite sind. In diesem Fall wurde das Skript in eine Seite eingebettet, stammt jedoch aus einer anderen Quelle und sollte erst dann als vertrauenswürdig eingestuft werden, wenn Sie auf eine Art und Weise geklickt oder interagiert haben, um anzuzeigen, dass Sie dort sein möchten.
Wenn die anstößigen Seitenelemente in einen Iframe oder eine andere Methode eingebettet wären, die mit der Quelle und dem Ziel der Daten übereinstimmt, würde die automatische Ausführung dieses Exploits (und ja, ich werde es Exploit nennen) nicht funktionieren.
Eine Liste bekannter Websites, in die Skripts eingebettet sind, die den Anmeldungsmanager zur Verfolgung missbrauchen
Es ist sehr wahrscheinlich, dass die Web-Publisher, die Werbedienste verwenden, die dieses Verhalten ausnutzen, keine Ahnung haben, was mit ihren Nutzern passiert. Dies entbindet sie nicht von ihrer Verantwortung. Letztendlich wird ihr Produkt verwendet, um Daten von Benutzern ohne deren Wissen zu sammeln, und dies sollte jeden betroffenen Site-Administrator (und möglicherweise auch sehr wütend) machen. Als Benutzer können wir nur die gleichen "inkognito" Webbrowsing-Praktiken anwenden, die auch angewendet werden, wenn wir im Web etwas privater bleiben möchten. Das bedeutet, alle Skripte zu blockieren, alle Anzeigen zu blockieren, keine Daten zu speichern, keine Cookies zu akzeptieren und im Grunde jede Websitzung als eigene Sandbox zu behandeln.
Die einzig wahre Lösung besteht darin, die Funktionsweise von Passwort-Managern über den Browser zu ändern - sowohl integrierte Tools als auch Erweiterungen oder andere Plugins. Arvind Narayanan, einer der Professoren, die an dem Projekt gearbeitet haben, bringt es auf den Punkt:
Es wird nicht leicht zu beheben sein, aber es lohnt sich
Google, Microsoft, Apple und Mozilla haben das Web zu dem gemacht, was es heute ist, und sie sind in der Lage, Dinge zu ändern, um neuen Problemen gerecht zu werden. Hoffentlich steht dies auf der kurzen Liste der Änderungen.
