Vier Sicherheitsforscher der Universität Hamburg haben herausgefunden, dass Werbetreibende die Internetaktivitäten von Nutzern verfolgen können, indem sie eine Funktion des Verschlüsselungsprotokolls Transport Layer Security (TLS) missbrauchen. Von 45 untersuchten Browsern für Desktop-Computer und mobile Geräte erlauben demnach 38 das unerwünschte User-Tracking.
Den Forschern zufolge können Werbetreibende, die Anzeigen über HTTPS bereitstellen, ebenfalls TLS Session Resumption aktivieren. Besucht ein Nutzer eine Website mit einer solchen Anzeige, wird eine TLS-Sitzung mit dem Server der Werbefirma etabliert. Wechselt der Nutzer zu einer anderen Seite, die ebenfalls eine Anzeige dieser Firma enthält, wird die TLS-Sitzung nicht neu aufgebaut, sondern fortgesetzt. Der Werbetreibende kann nun über seine TLS-Sitzung sowie seine Anzeigen nachvollziehen, welche Websites der Nutzer zuletzt besucht hat.
Diese Technik funktioniert allerdings nur, wenn auch der Browser diese Form des Tracking erlaubt. Im Desktop-Bereich wird es allerdings nur (Stand Anfang September) von sechs Browsers blockiert: 360 Security Browser, JonDoBrowser, Konqueror, Microsoft Edge, Sleipnir und Tor Browser, wobei Tor Browser und JonDoBrowser TLS Session Resumption erst gar nicht unterstützen.
Android-Nutzern steht lediglich der Orbot-Browser zur Verfügung, um sich gegen diese Form des Trackings zu schützen. Unter iOS 11 sind indes Chrome, Firefox, Opera und Safari anfällig.
Große Unterschiede ergeben sich auch bei der Lebenszeit von Session-IDs und Session Tickets. Während viele Browser die Wiederaufnahme einer TLS-Sitzung nur für bis zu 30 oder 60 Minuten erlauben, sind es bei einigen bis zu 24 Stunden (Firefox, Safari). Nur ein Browser gibt einen extrem kurzen Zeitraum von 15 Sekunden vor: Opera Mini für Android.
Die Forscher gehen davon aus, dass sich viele Browser-Anbieter dieser Tracking-Methode nicht bewusst sind. Ihre Studie gibt auch keine Auskunft darüber, welche Werbefirmen das Tracking per TLS Session Resumption tatsächlich einsetzen. Sie stufen es jedoch als verdächtig ein, dass Google und Facebook serverseitig TLS-Sitzungen für Zeiträume von 28 beziehungsweise 48 Stunden aufrechterhalten. 80 Prozent der von ihnen untersuchten Websites unterstützten das Session Resumption nur über einen Zeitraum von bis zu zehn Minuten.
Die Forscher empfehlen, dass Browser-Anbieter die Fortführung von TLS-Sitzungen generell für Dritt-Domains blockieren und nur für die Domain zulassen, die der Nutzer über den Browser direkt aufgerufen hat. Als Folge müssten per HTTPS ausgelieferte Anzeigen stets eine neue Sitzung aushandeln, egal auf welcher Domain sie angezeigt werden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…
Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.
Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.