"Web Bugs" bedrohen Privatssphäre
Versteckte URLs in Office-Dateien und vergleichbaren Dokumenten können unerkannt Internet-Surfer ausspionieren.
Richard M. Smith von der Privacy Foundation hat auf eine Funktion in Microsofts Office 97 und 2000 hingewiesen, die für die Privatsphäre der Nutzer problematisch sein kann. Bettet man die so genannten "Web Bugs" in Office-Dokumente ein, so ermöglichen sie dem Autor des Dokumentes eine Überwachung, wann und wo die Datei gelesen wird – sofern der Rechner des Lesers am Internet angeschlossen ist. Um dies zu demonstrieren hat die Privacy Foundation eine "infizierte" Word-Datei ins Internet gestellt.
Die "Web Bugs" können benutzt werden, um mit Hilfe der Internet-Funktionen von Office 97 und 2000 über vom Autor eingebaute URLs beispielsweise Grafiken von einem externen Server in das Dokument zu laden. Versteckt man diese Links nun etwa einer 1x1-Pixel-Grafik, ist diese für den Leser des Dokumentes unsichtbar. Sie verrät aber dem Autor der Datei anhand von Webserver-Logs, wo und wann die Datei gelesen wird – sofern dies nicht hinter einem Firewall oder offline geschieht.
Die von den "Web Bugs" eingesetzte Technik ist keinesfalls neu. Fast alle Web-basierten Web-Counter (etwa www.netstat.nl) funktionieren nach dem gleichen Prinzip – auch hier ermittelt man IP-Adresse und Zeitpunkt des Webseiten-Aufrufs über eine externe URL des Anbieters. Anhand der Server-Logs erstellen die Webcounter dann die Zugriffsstatistiken. Allerdings verpflichten sich die Anbieter der Webcounter normalerweise, keine der Daten zum Ausspionieren der Privatssphäre der Internetnutzer zu verwenden.
Richard M. Smith ist für Microsoft kein Unbekannter. Bereits im März letzten Jahres hat er den Redmonder Konzern in Bedrängnis gebracht. Damals fand er heraus, dass Microsoft bei der Online-Registrierung heimlich eindeutige Identifikationsnummern der Kunden übertrug, die an die MAC-Adresse der PC-Netzwerkkarte gekoppelt waren.
Allerdings darf man das Problem mit den "Web Bugs" nicht allein Microsoft anlasten. Alle Applikationen, die ähnliche Web-Funktionen bieten wie Microsoft Office, sind potenziell betroffen, etwa PDF-Reader oder Suns StarOffice – und natürlich auch Webbrowser. Schützen kann man sich vor "Web Bugs", indem man beispielsweise einen Desktop Firewall installiert. Außerdem hat die Privacy Foundation ein ausführliches Advisory ins Netz gestellt.
Auch das Microsoft Security Support Center hat in der Zwischenzeit darauf hingewiesen, dass alle "web-enabled" Applikationen von den "Web Bugs" betroffen sind, unabhängig von ihrem Hersteller. Zu der Problematik, dass die "Web Bugs" auch Cookies zum Ausspionieren der Rechner hinterlassen können, empfiehlt Microsoft, das Setzen von Cookies nur auf Nachfrage zu erlauben (dies ist unter den Internet-Sicherheitseinstellungen von Windows möglich). (vza)
