Categories: MarketingWerbung

Werbetreibende spähen Besucher verschlüsselter Websites aus

Vier Sicherheitsforscher der Universität Hamburg haben herausgefunden, dass Werbetreibende die Internetaktivitäten von Nutzern verfolgen können, indem sie eine Funktion des Verschlüsselungsprotokolls Transport Layer Security (TLS) missbrauchen. Von 45 untersuchten Browsern für Desktop-Computer und mobile Geräte erlauben demnach 38 das unerwünschte User-Tracking.

Die fragliche Funktion nennt sich TLS Session Resumption (RFC 8447). Sie wurde schon vor mehr als zehn Jahren eingeführt, um es TLS-Servern zu erlauben, sich an wiederkehrende Nutzer zu erinnern und ihnen die Neuaushandlung einer TLS-Sitzung zu ersparen. Derzeit gibt es drei Möglichkeiten, eine TLS-Sitzung wieder aufzunehmen. Entweder vergibt der Server eine Session-ID oder eine Session-Ticket. Diese beiden Methoden sind kompatibel zu TLS 1.2. Die neuere Version TLS 1.3 nutzt indes Pre-shared Keys für das TLS Session Resumption. Unabhängig von der gewählten Methode können Betreiber von TLS-Servern festlegen, über welchen Zeitraum eine Sitzung aufrechterhalten werden kann.

Den Forschern zufolge können Werbetreibende, die Anzeigen über HTTPS bereitstellen, ebenfalls TLS Session Resumption aktivieren. Besucht ein Nutzer eine Website mit einer solchen Anzeige, wird eine TLS-Sitzung mit dem Server der Werbefirma etabliert. Wechselt der Nutzer zu einer anderen Seite, die ebenfalls eine Anzeige dieser Firma enthält, wird die TLS-Sitzung nicht neu aufgebaut, sondern fortgesetzt. Der Werbetreibende kann nun über seine TLS-Sitzung sowie seine Anzeigen nachvollziehen, welche Websites der Nutzer zuletzt besucht hat.

Diese Technik funktioniert allerdings nur, wenn auch der Browser diese Form des Tracking erlaubt. Im Desktop-Bereich wird es allerdings nur (Stand Anfang September) von sechs Browsers blockiert: 360 Security Browser, JonDoBrowser, Konqueror, Microsoft Edge, Sleipnir und Tor Browser, wobei Tor Browser und JonDoBrowser TLS Session Resumption erst gar nicht unterstützen.

Android-Nutzern steht lediglich der Orbot-Browser zur Verfügung, um sich gegen diese Form des Trackings zu schützen. Unter iOS 11 sind indes Chrome, Firefox, Opera und Safari anfällig.

Große Unterschiede ergeben sich auch bei der Lebenszeit von Session-IDs und Session Tickets. Während viele Browser die Wiederaufnahme einer TLS-Sitzung nur für bis zu 30 oder 60 Minuten erlauben, sind es bei einigen bis zu 24 Stunden (Firefox, Safari). Nur ein Browser gibt einen extrem kurzen Zeitraum von 15 Sekunden vor: Opera Mini für Android.

Die Forscher gehen davon aus, dass sich viele Browser-Anbieter dieser Tracking-Methode nicht bewusst sind. Ihre Studie gibt auch keine Auskunft darüber, welche Werbefirmen das Tracking per TLS Session Resumption tatsächlich einsetzen. Sie stufen es jedoch als verdächtig ein, dass Google und Facebook serverseitig TLS-Sitzungen für Zeiträume von 28 beziehungsweise 48 Stunden aufrechterhalten. 80 Prozent der von ihnen untersuchten Websites unterstützten das Session Resumption nur über einen Zeitraum von bis zu zehn Minuten.

Die Forscher empfehlen, dass Browser-Anbieter die Fortführung von TLS-Sitzungen generell für Dritt-Domains blockieren und nur für die Domain zulassen, die der Nutzer über den Browser direkt aufgerufen hat. Als Folge müssten per HTTPS ausgelieferte Anzeigen stets eine neue Sitzung aushandeln, egal auf welcher Domain sie angezeigt werden.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chinesische Hacker schieben Microsoft schädliche Azure Active Directory Apps unter

Sie setzen insgesamt 18 Anwendungen bis April 2020 für Angriffe auf nicht genannte Ziele ein.…

2 Tagen ago

Schlafende Tabs: Microsoft reduziert Stromverbrauch seines Browsers Edge

Tests zufolge sinkt die Speicherauslastung um durchschnittlich 26 Prozent. Die CPU-Nutzung geht um 29 Prozent…

2 Tagen ago

Apple behebt Fehler in macOS 10.15 Catalina und iOS 14

Unter iOS und iPadOS lassen sich Standardanwendungen für Browser und E-Mail nun dauerhaft einrichten. Auch…

3 Tagen ago

IAM-Lösung von Beta Systems bei der Thüringer Aufbaubank

Die Beta Systems Software AG setzt in einem IAM-Projekt bei der Thüringer Aufbaubank Rollenkonzepte mit…

3 Tagen ago

AgeLocker-Ransomware stiehlt Daten von QNAP-NAS-Geräten

Die Erpressersoftware ist seit rund einem Monat aktiv. Sie nutzt den Verschlüsselungsalgorithmus Actually Good Encryption.…

3 Tagen ago

Microsoft warnt vor aktiven Angriffen auf Zerologon-Lücke

Hacker nehmen Exploits für die Schwachstelle in ihr Waffenarsenal auf. Für US-Behörden wird der verfügbare…

3 Tagen ago