Timing-Attacke deanonymisiert Website-Besucher teilweise

Sicherheitsspezialist Harro Müller hat einen Weg gefunden, wie Website-Betreiber die Besucher ihrer Sites teilweise deanonymisieren können, sofern diese parallel bei Facebook eingeloggt sind. Derzeit funktioniert der Exploit laut Müller nur in Chrome und Firefox; Edge und Safari haben die dazu notwendigen Browser-APIs (noch) nicht implementiert.

Der Exploit nutzt die Möglichkeit aus, dass Website-Betreiber von Facebook sogenannte Targeted Posts einbetten können, also Posts, die nur Besucher mit bestimmten demographischen Merkmalen zu sehen bekommen, also zum Beispiel nur Männer ab 40 Jahren. Mit Requests für solche Anzeigen bestimmt Müller die Merkmale seiner Besucher.

Zeitnahme

Das funktioniert nicht direkt: Den Inhalt oder sogar nur die Größe eines solchen Requests kann der Website-Betreiber nicht auslesen. Das verhindert die sogenannte Same-Origin-Policy der Browser. Dieses Sicherheitskonzept untersagt es Skriptsprachen wie JavaScript, auf Objekte zuzugreifen, die von einer anderen Website stammen oder deren Speicherort nicht der Ursprungsdomain der Domain entspricht.

Was aber selbst die Same-Origin-Policy nicht verhindert, ist, dass ein Skript die Zeit messen kann, die ein Request zu einer fremden Domain dauert. Und das macht sich Müllers Timing-Attacke zunutze, denn wenn ein User einen Post lesen kann, ist die Response-Size eines Requests wesentlich größer, als wenn er nicht gelesen werden kann.

Altersbeschränkung

Müller hat ein Skript geschrieben, das in mehreren Schritten das Alter seiner Besucher durch entsprechende Abfragen einschränkt. Das Geschlecht zu ermitteln ist trivial, die Ortserkennung beschränkt sein Skript auf Städte mit mehr als 100.000 Einwohnern.

Auf seiner Homepage beschreibt er sein Verfahren detailliert. Dort kann man das Verfahren auch ausprobieren. In unseren Tests hat es zuverlässig funktioniert. Müller stellt den Quellcode seines Skripts zum Herunterladen bereit. (jo)