Categories: MarketingWerbung

Werbetreibende spähen Besucher verschlüsselter Websites aus

Vier Sicherheitsforscher der Universität Hamburg haben herausgefunden, dass Werbetreibende die Internetaktivitäten von Nutzern verfolgen können, indem sie eine Funktion des Verschlüsselungsprotokolls Transport Layer Security (TLS) missbrauchen. Von 45 untersuchten Browsern für Desktop-Computer und mobile Geräte erlauben demnach 38 das unerwünschte User-Tracking.

Die fragliche Funktion nennt sich TLS Session Resumption (RFC 8447). Sie wurde schon vor mehr als zehn Jahren eingeführt, um es TLS-Servern zu erlauben, sich an wiederkehrende Nutzer zu erinnern und ihnen die Neuaushandlung einer TLS-Sitzung zu ersparen. Derzeit gibt es drei Möglichkeiten, eine TLS-Sitzung wieder aufzunehmen. Entweder vergibt der Server eine Session-ID oder eine Session-Ticket. Diese beiden Methoden sind kompatibel zu TLS 1.2. Die neuere Version TLS 1.3 nutzt indes Pre-shared Keys für das TLS Session Resumption. Unabhängig von der gewählten Methode können Betreiber von TLS-Servern festlegen, über welchen Zeitraum eine Sitzung aufrechterhalten werden kann.

Den Forschern zufolge können Werbetreibende, die Anzeigen über HTTPS bereitstellen, ebenfalls TLS Session Resumption aktivieren. Besucht ein Nutzer eine Website mit einer solchen Anzeige, wird eine TLS-Sitzung mit dem Server der Werbefirma etabliert. Wechselt der Nutzer zu einer anderen Seite, die ebenfalls eine Anzeige dieser Firma enthält, wird die TLS-Sitzung nicht neu aufgebaut, sondern fortgesetzt. Der Werbetreibende kann nun über seine TLS-Sitzung sowie seine Anzeigen nachvollziehen, welche Websites der Nutzer zuletzt besucht hat.

Diese Technik funktioniert allerdings nur, wenn auch der Browser diese Form des Tracking erlaubt. Im Desktop-Bereich wird es allerdings nur (Stand Anfang September) von sechs Browsers blockiert: 360 Security Browser, JonDoBrowser, Konqueror, Microsoft Edge, Sleipnir und Tor Browser, wobei Tor Browser und JonDoBrowser TLS Session Resumption erst gar nicht unterstützen.

Android-Nutzern steht lediglich der Orbot-Browser zur Verfügung, um sich gegen diese Form des Trackings zu schützen. Unter iOS 11 sind indes Chrome, Firefox, Opera und Safari anfällig.

Große Unterschiede ergeben sich auch bei der Lebenszeit von Session-IDs und Session Tickets. Während viele Browser die Wiederaufnahme einer TLS-Sitzung nur für bis zu 30 oder 60 Minuten erlauben, sind es bei einigen bis zu 24 Stunden (Firefox, Safari). Nur ein Browser gibt einen extrem kurzen Zeitraum von 15 Sekunden vor: Opera Mini für Android.

Die Forscher gehen davon aus, dass sich viele Browser-Anbieter dieser Tracking-Methode nicht bewusst sind. Ihre Studie gibt auch keine Auskunft darüber, welche Werbefirmen das Tracking per TLS Session Resumption tatsächlich einsetzen. Sie stufen es jedoch als verdächtig ein, dass Google und Facebook serverseitig TLS-Sitzungen für Zeiträume von 28 beziehungsweise 48 Stunden aufrechterhalten. 80 Prozent der von ihnen untersuchten Websites unterstützten das Session Resumption nur über einen Zeitraum von bis zu zehn Minuten.

Die Forscher empfehlen, dass Browser-Anbieter die Fortführung von TLS-Sitzungen generell für Dritt-Domains blockieren und nur für die Domain zulassen, die der Nutzer über den Browser direkt aufgerufen hat. Als Folge müssten per HTTPS ausgelieferte Anzeigen stets eine neue Sitzung aushandeln, egal auf welcher Domain sie angezeigt werden.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

3 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

4 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

4 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

5 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

6 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

6 Tagen ago