Auch Amazon.de anfällig für Manipulation
Nachdem sich Produktempfehlungen bei Amazon.com bereits als manipulierbar erwiesen hatten, hat ein Leser nun auch einen Weg gefunden, die Kauftipps beim deutschen Ableger des Onlinehändlers zu beeinflussen.
- Ronald Eikenberg
Auch die Produktempfehlungen von Amazon.de sind leicht manipulierbar, wie unser Leser Torben Gerkensmeyer herausgefunden hat: Bettet man in eine beliebige Webseite mittels IMG-Tag ein Bild ein, das auf eine Amazon-Produktseite verweist, ordnet Amazon dieses Produkt beim Öffnen der Seite dem Kundenprofil des Webseitenbesuchers zu.
Die ohne Zutun des Besuchers aufgerufenen Produkte werden ihm künftig etwa auf der Amazon-Startseite präsentiert. Man kann davon ausgehen, dass auch die Produktempfehlungen im automatisch erzeugten Amazon-Newsletter davon beeinflusst werden.
Darüber hinaus ist denkbar, dass sich Teilnehmer des Amazon-Partnerprogramms dadurch bereichern können, dass Sie an eine solche Anfrage ihre individuelle Partner-ID anhängen. Dadurch würde der Amazon-Partner die Provision für die vermeintliche erfolgreiche Vermittlung des Webseitenbesuchers einstreichen. Auf eine am gestrigen Montag gestellte Anfrage von heise Security hat Amazon bislang nicht reagiert.
Auch Amazon.com lässt sich auf diese Weise manipulieren. Vergangene Woche hatte ein Blogger eine ähnliche Methode gezeigt, bei der die Produktseite als unsichtbares iFrame eingebettet wird. Das funktionierte nur bei der US-amerikanischen Website, da Amazon.de die Header-Angabe X-Frame-Options SAMEORIGIN mitsendet. Dadurch blockiert der Browser auf fremden Seiten das Einbetten als Frame, was unter anderem Clickjacking-Angriffe erschwert. Inzwischen sendet auch Amazon.com die Header-Angabe mit, sodass der alte Manipulationsweg nicht mehr funktioniert. Gegen das Einbetten als Bild schützt der Header unterdessen nicht. (rei)
