Tracking-Methode: Nutzer-Verhalten per Autofill-Funktion verfolgen

  • TIPP

  • HotPi
  • 1653 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Tracking-Methode: Nutzer-Verhalten per Autofill-Funktion verfolgen

    Tracking-Methode: Nutzer-Verhalten per Autofill-Funktion verfolgen
    AdBlocker und Tracking-Schutz machen es Werbetreibenden zunehmend schwerer, das Online-Verhalten der Nutzer auszulesen. Eine neue Methode ermöglicht es nun, die Autofill-Funktion des Browsers dafür zu verwenden.

    Webseitenbetreiber haben eine neue Möglichkeit gefunden, das Verhalten ihrer Nutzer auszulesen. Dies haben nun die Sicherheitsexperten von Freedom to Tinker herausgefunden. Demnach kann mittels eines speziellen JavaScripts trotz aktiviertem AdBlocker oder Tracking-Schutz das Online-Verhalten der Nutzer ausgespäht werden.

    Dafür kommt den Anbietern die Autofill-Funktion zur Hilfe. Diese wird inzwischen von den meisten Browser angeboten, um dem Nutzer andauernde Login-Vorgänge zu ersparen. Surft der Anwender eine Seite an, für die Nutzername und Passwort im Browser gespeichert sind, erfolgt die Anmeldung automatisch und ohne weiteres Zutun des Users.

    Per integriertem JavaScript kann dem Browser nun ein nicht sichtbares Anmeldefeld vorgegaukelt werden, welches dank der Autofill-Funktion dann automatisch mit E-Mail-Adresse oder Benutzername sowie Passwort versehen wird.

    Tracking ist sogar über einzelne Webseiten hinaus möglich

    Wird die E-Mail-Adresse als Nutzername verwendet, ist es den Anbietern dieses JavaScripts sogar möglich, das Nutzerverhalten über die einzelnen Webseiten hinaus genau zu tracken und zu analysieren. Anhand einer E-Mail-Adresse ist ein Nutzer eindeutig identifizierbar und das Online-Verhalten kann so ganz spezifisch zugeordnet werden.

    Die beiden bekanntesten Werbenetzwerke, die diese Methode anbieten, sind AdThink und OnAudience. Auch wenn die JavaScripts vornehmlich dazu bestimmt sind, das Nutzerverhalten zu tracken ist nicht auszuschliessen, dass Passwörter und andere vertrauliche Daten auf diesem Wege ebenfalls ausgelesen werden beziehungsweise in falsche Hände geraten.

    Deaktivierung der Autofill-Funktion

    Um sich davor zu schützen hilft nur, die Autofill-Funktion vollständig zu deaktivieren. Selbst wer keine Login-Daten im Browser gespeichert hat, ist bei aktiver Autofill-Funktion gefährdet, mehr preiszugeben als gewollt. Damit können nämlich auch Felder wie der Vorname, das Geburtsdatum oder auch die postalische Adresse ausgefüllt werden.

    Autor(in) Alexandra Lindner
    03.01.2018, 14:33 Uhr


    Quelle: Tracking-Methode: Nutzer-Verhalten per Autofill-Funktion verfolgen - onlinepc.ch

  • Das Pendant dazu bei "heise.de":

    heise Security schrieb:

    Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern
    - Olivia von Westernhagen | 03.01.2018 - 17:34 Uhr


    (Bild: pixabay.com)

    Mittlerweile verfügen alle gängigen Browser über einen integrierten Login-Manager. Diese Funktion ist nicht nur praktisch für Nutzer, sondern auch für zwielichtige Werbefirmen, die die Daten fürs User-Tracking zweckentfremden.

    Viele Webseiten beinhalten Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken. Das geht aus einer Analyse von rund 50.000 Webseiten durch Sicherheitsforscher der Princeton University hervor. Demnach enthielten über 1100 dieser Seiten datensammelnden JavaScript-Code zweier verschiedener Werbefirmen.

    Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.

    Datenklau mit unsichtbarem Formular

    Das Tracking-Skript sammelt heimlich gespeicherte E-Mail-Adressen.

    (Bild: Princeton University)

    Zum automatisierten Abgreifen der E-Mail-Adressen muss die Autofill-Funktion im Browser aktiv sein. Nachdem der Nutzer während des Anmeldeprozesses auf der betreffenden Webseite dem dauerhaften Speichern der Login-Daten im Browser zugestimmt hat, lauert ihm das Tracking-Skript auf einer beliebigen Unterseite derselben Domain auf. Dort erzeugt es ein unsichtbares Login-Formular – und wartet anschließend einfach ab, bis der Login-Manager die abgefragten Daten selbständig einträgt.

    Die Lösung: Autofill deaktivieren

    Das beschriebene Angriffsszenario ist nicht neu: Die Forscher verweisen auf Beispiele, die bis zu elf Jahre zurückreichen. Anders als im aktuellen Fall wurden in der Vergangenheit häufig auch Adress-, Login- und andere vertrauliche Daten im Klartext abgegriffen. So beschrieb beispielsweise im Januar 2017 der finnische Webentwickler und Hacker Viljami Viljami Kuosmanen eine Phishing-Methode, die sich ebenfalls Autofill zunutze macht. Hierbei wird der Nutzer auf eine Webseite gelockt, um dort einige wenige Formulareingaben zu machen. Im Hintergrund füllt der Login-Manager derweil weitere unsichtbare Felder mit vertraulichen Daten aus.

    Wie schon Kuosmanen raten auch die Forscher der Princeton University zum Deaktivieren der Autofill-Funktion im Browser. Wer sich selbst ein Bild vom Angriff machen möchte, kann ihn auf einer vom Forscherteam eingerichteten Demo-Webseite übrigens auch selbst nachvollziehen.
    Quelle (heise Security): -3931772