Apple macht gegen Supercookies mobil
Laut Apple wird die Sicherheitsfunktion HSTS aktiv ausgenutzt, um Nutzer durch sogenannte Supercookies über Webseiten hinweg zu tracken. Eine Anpassung des Safari-Unterbaus WebKit soll dies stoppen.
Apple geht gegen die Zweckentfremdung der Schutzfunktion HTTP Strict Transport Security (HSTS) vor: Um zu verhindern, dass Werbetreibende diese zur Speicherung eines sogenannten Supercookies im Browser des Nutzers einsetzen, wurde Safari für iPhone, iPad und Mac modifiziert, wie das WebKit-Team mitteilte: WebKit – die Rendering-Engine des Browsers – setze nun zwei Techniken ein, die sowohl das Setzen als auch das Auslesen von Supercookies über HSTS verhindern sollen.
HSTS soll den Nutzer vor Lauschern schützen – macht aber Tracking möglich
Über den HTTP-Header HSTS ist ein Server in der Lage, den Browser anzuweisen, sich nur noch verschlüsselt über HTTPS zu verbinden. Hatte der Browser mit der jeweiligen Webseite bereits Kontakt, wird er durch HSTS automatisch die verschlüsselte Seite aufrufen, auch wenn der Nutzer die HTTP-Version aufgerufen hat. Dies soll es Angreifern schwer machen, die den Datenverkehr belauschen wollen: Normalerweise könnten diese etwa eine Umleitung von http://meinefantasiebank.de zu https://meinefantasiebank.de unterbinden und den eigentlich verschlüsselten Datenverkehr auf diese Weise im Klartext einsehen.
Da sich Browser diese HSTS-Werte merken und im Unterschied zu normalen Cookies nicht besonders schützen eignen sie sich allerdings auch zum Erstellen eines individuellen “Fingerabdruckes” – und damit für ein effektives Tracking über Webseiten hinweg.
Arbeitet eine Website mit mehreren Subdomains, kann sie dem Nutzer dadurch mehrere HSTS-Werte unterschieben, wie ein Forscher 2015 demonstrierte – und schon die HSTS-Spezifikation RFC 6797 selbst anmerkt. Besonders problematisch: In der iOS-Version von Safari ließen sich derartige Supercookies nicht entfernen, hieß es damals – über iCloud landen diese zudem auf anderen Geräten des Nutzers und könnten so ein noch umfassendere Tracking erlauben.
Apple: Supercookies lange nur theoretische Bedrohnung
Diese Bedrohung sei bislang theoretischer Natur gewesen, schreibt Apple, man habe jüngst aber bemerkt, dass die Methode gegen Safari-Nutzer aktiv eingesetzt wird – und deshalb Gegenmaßnahmen ergriffen.
Zum Schutz akzeptiert Safari das Setzen des HSTS-Status nur noch von der aufgerufenen Subdomain oder der Hauptdomain, dies soll das Anlegen einer permanenten ID verhindern. Außerdem ignoriere der Browser nun den HSTS-Status bei Anfragen durch eingebundene Drittinhalte einer Domain, von der bereits die Cookies blockiert werden, wie das WebKit-Team ausführt. Dies sorge dafür, dass die Zeichenkette des Supercookies nur noch aus Nullen besteht und sich somit nicht mehr nutzen lässt.
Apples Testläufen zufolge verrichten die beiden “Entschärfungen” zuverlässig ihren Dienst, ohne dabei die Schutzfunktion HSTS zu beeinträchtigen. Man arbeite daran, die erste der beiden vorgenommenen Anpassungen in den HSTS-Spezifikation einfließen zu lassen, so Apple.
Lesen Sie auch:
(lbe)
