CNAME Cloaking: Werbebranche trickst Tracking-Sperren aus
Immer mehr Browser blockieren Tracking-Cookies der Werbeindustrie. Um die Sperren zu umgehen, greifen Adtech-Anbieter zu einer List.
(Bild: Shutterstock/dotshock)
Um die Tracking-Sperren von Browsern wie Firefox, Safari oder Brave zu umgehen, setzen immer mehr Website-Betreiber auf Cookies, die sie auf eigene Subdomains auslagern. Eine aktuelle Studie fand auf mehr als 10.000 Websites entsprechende Cookies. Das Verfahren wird "CNAME Cloaking" genannt, weil die Herkunft des Cookies verschleiert wird.
Die untersuchte Methode erinnert an den technischen Wettlauf zwischen Adblockern und Anti-Adblockern. Eine beliebte Strategie: Wenn Adserver von Adblockern blockiert wurden, wurde die Werbung stattdessen direkt vom Webserver ausgeliefert. Damit liefen die Filterregeln zunächst ins Leere – zumindest bis die Filterlisten-Autoren wieder nachgerüstet hatten.
Dieselbe Strategie scheint sich nun beim Werbe-Tracking zu wiederholen. In einer aktuellen Studie hatten vier Forscher von der Universität Leuven und dem unabhängigen Privatsphäre-Forscher Lukasz Olejnik untersucht, wie viele Website-Betreiber mittlerweile Tracking-Cookies auf den eigenen Domains parken.
Third Party? Nicht doch!
Grund sind offenbar die zunehmend strengen Regeln der Anti-Tracking-Techniken von Firefox und Apples Safari. Diese filtern routinemäßig Inhalte wie Cookies anderer Domains heraus, wenn sie den Eindruck machen, dem Tracking zu Werbezwecken zu dienen. Die offensichtliche Lösung: Das User-Tracking wird direkt von der ursprünglichen Domain in Gang gesetzt.
Damit die Cookies nicht als Third-Party-Cookies auffallen, legen die Website-Betreiber dazu eine eigene Subdomain an, die wieder auf die IT-Infrastruktur der Adtech-Anbieter verweist. Damit können immer noch einige Nutzerdaten gesammelt werden. Allerdings ist es damit alleine nicht möglich, Nutzer quer durch das Netz zu tracken, da die Cookies unterschiedlicher Websites keine gemeinsame Kennung mehr haben.
Tausende Websites betroffen
Um das Ausmaß dieser Tracking-Techniken zu ergründen, nutzten die Forscher zum einen den Datensatz von HTTP Archive, das nicht nur die Inhalte von fünf Millionen Websites erfasst hat, sondern auch detaillierte technische Logs über Scripte und Umleitungen bereithält. Parallel werteten die Forscher bekannte Sperrlisten von Anti-Tracking-Anbietern aus. Das Ergebnis: Die Autoren identifizierten 13 Tracker, die auf mindestens 100 Websites eingesetzt wurden. Insgesamt fanden sie die "CNAME Cloaking" genannte Technik auf über 9501 Webseiten.
Die Zahl der Angebote, die solche Techniken einsetzen, dürfte jedoch wesentlich höher liegen. Besonders Domains mit hohem Traffic waren betroffen, da hier am meisten Werbeeinnahmen durch die Tracking-Blockade verloren gehen. Dabei nahm die Anzahl der Third-Party-Cookies nicht substanziell ab. Im Fall von Criteo stellten die Forscher fest, dass der Adtech-Anbieter CNAME Cloaking nur dann einsetzt, wenn die gewöhnlichen Cookies blockiert werden.
Criteo bestätigte gegenüber heise online, eine solche Lösung eingesetzt zu haben, doch sei das bereits im vergangenen Jahr wieder gestoppt worden. Künftig wolle sich das auf personalisierte Werbung und Retargeting spezialisierte Unternehmen nun an dem von Googles "Privacy Sandbox"-Initiative vorgegebenen Rahmen orientieren, erklärte ein Unternehmenssprecher.
Sicherheitsrisiken der Methode
Tracking-Scripte unter der eigenen Domain zu veröffentlichen hat Folgen. So stellten die Forscher fest, dass die Umleitungen nicht immer sauber konfiguriert waren, sodass HTTPS-verschlüsselte Webseiten parallel eine unverschlüsselte HTTP-Verbindung öffneten. Ein anderes Problem: Auch sensitive Informationen wie etwa ein ausgefülltes Aboformular konnten bei einzelnen Websites von den Trackern auf der Subdomain mitgelesen werden. Wesentlich öfter konnten Informationen der First-Party-Cookies von der Adtech-Subdomain mitgelesen werden.
Wo Tracking-Blocker-Blocker aktiv sind, lassen die Tracking-Blocking-Blocker-Blocker nicht lange auf sich warten. So hat die beliebte Adblock-Software uBlock Origin bereits eine Technik integriert, um solche Cookie-Umleitungen zu vermeiden. Allerdings funktioniert dies wegen API-Einschränkungen nicht auf chromium-basierten Browsern. Hier müssen die gewöhnlichen Blocklists nach bekannten Tracking-Techniken suchen.
(emw)
