History Stealing 2.0: Ich weiß, wo du wohnst

Entwickler haben die Technik zum History Stealing so weit verfeinert, dass Webseiten sogar zuletzt gelesene Artikel auf Newsseiten, die genaue Postleitzahl eines Besuchers und auf Suchmaschinen eingegebene Begriffe herausfinden können.

In Pocket speichern vorlesen Druckansicht 159 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Zwei Entwickler haben die Technik zum Durchstöbern der Browser-History so weit verfeinert, dass Webseiten sogar zuletzt gelesene Artikel auf Newsseiten, die genaue Postleitzahl eines Besuchers und auf Suchmaschinen eingegebene Begriffe rausfinden können. Dabei haben die Entwickler Artur Janc und Lukasz Olejnik den benutzten JavaScript-Code so optimiert, sodass das als "History Stealing" bekannte Verfahren nun sechsmal schneller als bei bisherigen Methoden funktioniert.

Beim History Stealing macht man sich die Art zunutze, wie Browser speichern, ob ein Anwender schon einmal einem Link gefolgt ist (einen einfachen Test gibt es online). Bereits angeklickte Links werden farblich anders dargestellt, als Links, denen man noch nicht gefolgt ist. Die andere Farbe wird durch eine Änderung im Stylesheet (CSS) des HTML-Dokuments bewirkt, die der Browser als Attribute in der History speichert. Mit JavaScript lässt sich nun eine Liste möglicher Webseiten und das Farbschema des Stylesheets testen, womit ein Rückschluss auf die besuchten Seiten möglich ist. Je größer die Liste, desto wahrscheinlicher ist es, einen Treffer zu landen. Mit dem optimierten JavaScript soll es möglich sein, 30.000 Links pro Sekunde durchzuprobieren.

Leider gibt es auch eine Möglichkeit, ohne JavaScript an die Browser-History zu kommen. Dabei nutzt ein Angreifer die Eigenschaft von Stylesheets, unterschiedliche Hintergrundbilder nachladen zu können, je nachdem ob die Seite bereits besucht wurde oder nicht. Mit präparierten HTML-Seiten kann ein Angreifer dann ohne JavaScript die History abfragen, indem er beobachtet, ob die Seite Bilder nachlädt. Janc und Olejnik haben auch diese Methode in ihren Test integriert, die nach ihren Angaben auch bei abgeschaltetem JavaScript und installierten Plug-ins wie NoScript funktioniert.

In Versuchen mit rund 270.000 Internet-Nutzern sollen 76 Prozent für History Stealing verwundbar gewesen sein. Im Schnitt soll es dabei gelungen sein, 62 besuchte Seiten auf den populärsten Sites herauszufinden. Bei der Erstellung ihrer Liste gaben sich die beiden Autoren besondere Mühe: Zunächst flossen mehr als 6.000 Adressen populärer Webseiten, News-Portale, Erwachsenen-Seiten, sozialer Netze und die von Wikileaks ein. Anhand dieser Links crawlten sie die Seiten nach Unterseiten, Formularen und Bildern durch. Bei News-Seiten zogen sie zudem aktuelle RSS-Feeds hinzu, um die Links zu prüfen.

Darüber hinaus fügten sie Links zu Seiten ein, auf denen Anwender üblicherweise ihre Postleitzahl (ZIP-Code) eingeben, beispielsweise auf Wetterseiten. Mittels Durchprobieren verschiedener Lokalitäten gelang es so bei 9 Prozent der Tests, eine Postleitzahl herauszufinden – was aber auch die eines anstehenden Kurzurlaubs gewesen sein könnte. Auf ähnliche Weise gelang es mit einer Liste von 10.000 Wörtern und Phrasen, auf Google und Bing eingegebene Suchbegriffe zu verifizieren.

Ein bemerkenswertes Ergebnis der Studie ist laut Janc und Olejnik, dass bei bestimmten Tests die Erkennungsquote bei abgeschaltetem JavaScript höher ist als mit angeschaltetem. Firmen sollten dies ihrer Meinung nach bei Überlegungen zur Browser-Sicherheit berücksichtigen. Ein wirksamer Schutz ist aber weiterhin, die Browser-History in kürzeren Abständen regelmäßig zu löschen.

Das vollständige Dokument ist online verfügbar (PDF-Datei): "Feasibility and Real-World Implications of Web Browser History Detection "

Siehe dazu auch:

(dab)