image

Ernstig privacy-lek in alle browsers

donderdag 11 juni 2009, 10:43 door Redactie, 14 reacties

Beveiligingsonderzoekers hebben privacy-lekken ontdekt die in alle bekende browsers aanwezig zijn, en ervoor zorgen dat internetgebruikers zonder cookies en IP-adressen toch zijn te volgen. Elke browser heeft een unieke vingerafdruk, die via de informatie die de browser lekt is samen te stellen. Hierbij worden maatregelen zoals IE's InPrivate mode, Firefox's Private Browsing, Safari's Private Browsing en Chrome's Incognito mode volledig omzeild. Naast deze vier browsers zijn de privacy-lekken ook in Opera aanwezig. "Het mag duidelijk zijn dat andere versies van deze browsers, andere platformen en andere browsers in het algemeen met soortgelijke problemen te maken hebben", zegt Amit Klein.

Het probleem zit hem in de Javascript Math.random functie en boundary string die informatie lekken. Door deze gegevens te combineren, is het mogelijk om het unieke browser proces in kaart te brengen. Zodra de browser wordt afgesloten verdwijnt de informatie, waardoor het monitoren van de gebruiker stopt, in tegenstelling tot bijvoorbeeld cookies die voor onbepaalde tijd op een systeem actief kunnen zijn. Naast het lekken van informatie zijn de kwetsbaarheden ook te gebruiken voor "in session phishingaanvallen", waarschuwt Klein.

Oplossing
De onderzoeker adviseert gebruikers die hun privacy belangrijk vinden om alle browser processen regelmatig af te sluiten, met name tussen het bezoeken van websites waarvan men niet wil dat die met elkaar geassocieerd worden. Daarnaast moet men natuurlijk de standaard privacy-maatregelen volgen, zoals het verwijderen van alle cookies en cache. Applicatieontwikkelaars wordt aangeraden om niet op de willekeurigheid en onvoorspelbaarheid van Javascript’s Math.random functie te vertrouwen. Microsoft, Apple, Mozilla, Google en Opera doen er volgens Klein verstandig aan om hun code te herzien.

Reacties (14)
11-06-2009, 10:59 door Anoniem
Maar dat is toch niet de bedoeling van in-private browsing?
Het gaat er omdat geen persoonlijke worden bewaard op de computer, niet dat je niet kan worden ge-tracked.
11-06-2009, 11:05 door Ilja. _V V
[quote="Redactie:nietkwaadbedoeld"]Elke browser heeft een unieke vingerafdruk, die via de informatie die de browser lekt is samen te stellen
zijn de privacy-lekken ook in Opera aanwezig
andere platformen
probleem zit hem in de Javascript Math.random functie en boundary string
gegevens te combineren
De onderzoeker adviseert gebruikers die hun privacy belangrijk vinden om alle browser processen regelmatig af te sluiten, met name tussen het bezoeken van websites waarvan men niet wil dat die met elkaar geassocieerd worden
volgens Klein (doen ALLE browser fabrikanten er) verstandig aan om hun code te herzien[/quote]Waarom heb ik er daar nu geen zin in? Ik weet 't al: Ga slapen,
Ok.

(Aarghh!: Na 5x wijzigen:KO!..)
11-06-2009, 11:24 door [Account Verwijderd]
[Verwijderd]
11-06-2009, 11:24 door wimbo
Hoe kan je gebruikers ZONDER IP adres volgen? Surfen die op het Internet met IPX/SPX of NetBeui. Iedere Internetter zit nu achter een IP adres.

(zal wel vaste IP adressen moeten zijn).......
11-06-2009, 11:50 door Eghie
Door Duckman: Je browsen kan worden gevolgd. Dat wisten we toch al. Verder lijkt het een java lek en dus niet van de browser.
Voormijn gevoel past dit ook een beetje onder de noemer. Mensen kunnen naar binnen kijken. Je kan de gordijnen dicht doen maar er is altijd de kans dat er een gaatje open blijft waardoor je naar binnen kan kijken.
Cokies weg gooien net als de rest van de geschiedenis java script standaard uit en af en toen browser her starten. Zou de oplossing zijn? das mooi.

Microsoft, Apple, Mozilla, Google en Opera

Ik mis Konqueror is dit te exotisch of is het hierbij niet mogelijk. Konqueror draait overigens alleen onder Linux (misschien ook DSB SirDice)
Het gaat om JavaScript. JavaScript is wat anders dan JAVA. JavaScript is door de browser geïmplementeerd en JAVA is als plugin door SUN geïmplementeerd. Dit ligt dus weldegelijk aan de browser.

Inschakkelen van NOScript in Firefox kan dit trouwens tegengaan, voor de websites die je blokkeerd. Die websites kunnen namelijk dan geen JavaScript uitvoeren, dus kunnen ze ook niks met Math.random() doen.
11-06-2009, 11:59 door Eghie
oeps
11-06-2009, 13:07 door rob
Apple heeft al een fix voor Safari
11-06-2009, 14:11 door Anoniem
Aangezien de verschillende private browsing methodes binnen een 'private sessie' wel sessie cookies toestaan (die bij het verlaten van de browser gewist worden) is het net zo gemakkelijk om iemand binnen die sessie te volgen op basis van de sessie cookies. Sterker nog, tenminste voor Safari geldt het volgende: een cookie dat geplaatst is door een site voordat je naar de privémode gaat blijft leesbaar binnen de privémode. Dit betekent dat doubleclick ed. je zondermeer kunnen volgen.
Om dit zelf te testen kun je bijv. inloggen op een google account, privémode starten en een andere google applicatie waarvoor je hetzelfde account gebruikt openen.
11-06-2009, 18:32 door Eerde
Bizar of gelukkig wordt Konqueror niet in het rijtje geplaatst.,
11-06-2009, 18:56 door [Account Verwijderd]
[Verwijderd]
11-06-2009, 19:10 door Rene V
Gelukkig heeft Firefox een leuke addon genaamd: TrackMeNot ^^
11-06-2009, 19:21 door Anoniem
TrackMeNot helpt daar niet bij hoor. Die is voor zoekmachines tegen te gaan dat ze een profiel voor je opbouwen door elke tijd random een zoekopdracht te geven om je profiel te verstoren bij je zoekmachine.
Je kan trouwens dan gewoon beter Scroogle als zoekmachine gebruiken, dan heb je die hele extensie niet nodig en er is ook nog een SSL versie van Scroogle.
11-06-2009, 19:38 door Karl Hungus
Door Duckman: Ik mis Konqueror is dit te exotisch of is het hierbij niet mogelijk. Konqueror draait overigens alleen onder Linux (misschien ook DSB SirDice)
Om dezelfde reden dat Lynx en w3m niet genoemd worden: te klein marktaandeel; ze kunnen toch moeilijk elke applicatie die html rendert opsommen?

Konqueror draait overal waar KDE draait, dus zelfs op Windows. (Het is BSD trouwens.)
11-06-2009, 19:52 door Karl Hungus
Door Duckman: Ik mis Konqueror is dit te exotisch of is het hierbij niet mogelijk. Konqueror draait overigens alleen onder Linux (misschien ook DSB SirDice)
Om dezelfde reden dat Lynx en w3m niet genoemd worden: te klein marktaandeel; ze kunnen toch moeilijk elke applicatie die html rendert opsommen?

Konqueror draait overal waar KDE draait, dus zelfs op Windows. (Het is BSD trouwens.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.