Studie: Löchriger Cookie-Schutz in Browsern
Immer mehr Browser und Add-Ons bieten ihren Nutzern an, Third-Party-Cookies zu verweigern. Forscher fanden jedoch bei vielen Lösungen Schwachstellen.
Spätestens seit Apple in dem konzerneigenen Browser Safari 11 einen Tracking-Schutz integriert hat, ist der Kampf um die Cookies voll ausgebrochen. Insbesondere die sogenannten Third Party-Cookies, die website-übergreifend Daten auslesbar machen, stehen dabei in der Kritik: So können Angreifer mit Hilfe ausgelesener Cookies die Identität von Nutzern übernehmen. Zudem werden diese Daten für das Tracking von Nutzern für Werbezwecke genutzt, um Interessenprofile von Nutzern zu erstellen und ihnen personalisierte Werbung anzuzeigen.
Unsichtbare PDFs
Forscher der belgischen Universität KU Leuven haben sich sieben Browsern und 46 Adblocking- und Privacy-Add-Ons gestetet und dabei festgestellt, dass sie den Cookie-Schutz mit relativ einfachen Mittel aushebeln konnten. So betteten die Autoren beispielsweise in eine Website eine für den Nutzer unsichtbare PDF-Datei ein, die wiederum JavaScript-Code enthielt, um die Cookie-Sperren zu umgehen. Ergebnis: Jeder getestete Browser und auch jede Erweiterung konnte im Test auf zumindest eine Art umgangen werden.
Grund für die mangelhafte Blockade sind nach Angaben der Autoren die uneinheitliche Umsetzung der verschiedenen Web-Techniken in vielen Browsern, die immer wieder neue Angriffsflächen bietet. Ihre Ergebnisse haben die Forscher auf einer eigenen Website dokumentiert, auf der Nutzer auch ihren eigenen Browser testen können.
Keine akute Ausnutzung
Die gute Nachricht dabei: In dem Praxistest konnten die Autoren auf den von Alexa gelisteten 10.000 meistbesuchten Websites keine Beispiele finden, bei denen die Schwachstellen tatsächlich schon ausgenutzt wurden.Die Autoren der Studie haben bei den Browser- und Add-On-Herstellern Fehlerbeschreibungen eingereicht, die teilweise auch schon zum Schließen der gefundenen Lücken geführt haben. Allerdings haben Anbieter wie Google bereits Wege gefunden, wie sie ihr Tracking trotz Cookie-Sperren weiterführen können. (bme)