Neue Sicherheitsstudie zu Tracking Skripten

Da mittlerweile nahezu alle Browser über einen integrierten Login Manager verfügen, steigt die Gefahr eines Datendiebstahls deutlich an. Einige Werbefirmen missbrauchen die Nutzerdaten, die durch das Tracking gesammelt werden

 Sicherheitsforscher der amerikanischen Princeton University haben eine neue Studie zu Tracking Scripten vorgestellt. Dazu wurden rund 50.000 Webseiten analysiert. Mehr als 1100 Domains enthielten JavaScript-Code zweier verschiedener Werbefirmen. Tracking Scripts sind heute durchaus üblich. Sie sammeln Daten, was durchaus ok ist. Doch viele der untersuchten Webseiten haben Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken.

Die Forscher haben dabei festgestellt., dass die untersuchten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Diese Hashes werden dann als eindeutige, nicht-löschbare Tracking-Identifier verwendet, was Cookies unnötig macht und auch den Privatmodus des Nutzers umgeht.

Wie funktioniert das Tracking?

Die Funktionsweise der Tracking Scripts ist eigentlich simpel und läuft nach nur einem falschen Klick des Nutzers vollkommen automatisiert im Hintergrund ab. Voraussetzung ist die aktivierte Autofill Funktion des Browsers. Hat sich der Nutzer einmal mit seinen Daten angemeldet und einer Speicherung der Passwörter zugestimmt, sammelt die – für den Nutzer nicht sichtbare – Tracking Site alle Daten. Dabei ist es unerheblich, ob der Nutzer auf der Hauptdomain oder Subdomains surft – der Login Manager trägt immer selbstständig die benötigten Daten ein.

Bereits vor mehr als 10 Jahren wurde dieses Szenario beschrieben, ist also nicht neu. Immer wieder warnen IT Experten und Sicherheitsforschern vor einem zu naiven Umgang mit automatischen Login-Funktionen und der Speicherung von Kenn- und Passwörtern auf dem PC. Wichtige vertrauliche Daten könnten sonst gestohlen und in der weiteren Folge missbraucht werden. Der finnische Webentwickler und Hacker Viljami Viljami Kuosmanen hat im Januar 2017 eine Phishing Methode im Detail gezeigt, die auf den Autofill- Systemen basiert. Er erklärt, wie wichtig es ist, zum Schutz der Systeme die Autofill-Funktion zu deaktivieren. Das raten auch die Sicherheitsforscher der Princeton University.