Beveiligingsonderzoekers hebben privacy-lekken ontdekt die in alle bekende browsers aanwezig zijn, en ervoor zorgen dat internetgebruikers zonder cookies en IP-adressen toch zijn te volgen. Elke browser heeft een unieke vingerafdruk, die via de informatie die de browser lekt is samen te stellen. Hierbij worden maatregelen zoals IE's InPrivate mode, Firefox's Private Browsing, Safari's Private Browsing en Chrome's Incognito mode volledig omzeild. Naast deze vier browsers zijn de privacy-lekken ook in Opera aanwezig. "Het mag duidelijk zijn dat andere versies van deze browsers, andere platformen en andere browsers in het algemeen met soortgelijke problemen te maken hebben", zegt Amit Klein.
Het probleem zit hem in de Javascript Math.random functie en boundary string die informatie lekken. Door deze gegevens te combineren, is het mogelijk om het unieke browser proces in kaart te brengen. Zodra de browser wordt afgesloten verdwijnt de informatie, waardoor het monitoren van de gebruiker stopt, in tegenstelling tot bijvoorbeeld cookies die voor onbepaalde tijd op een systeem actief kunnen zijn. Naast het lekken van informatie zijn de kwetsbaarheden ook te gebruiken voor "in session phishingaanvallen", waarschuwt Klein.
Oplossing
De onderzoeker adviseert gebruikers die hun privacy belangrijk vinden om alle browser processen regelmatig af te sluiten, met name tussen het bezoeken van websites waarvan men niet wil dat die met elkaar geassocieerd worden. Daarnaast moet men natuurlijk de standaard privacy-maatregelen volgen, zoals het verwijderen van alle cookies en cache. Applicatieontwikkelaars wordt aangeraden om niet op de willekeurigheid en onvoorspelbaarheid van Javascript’s Math.random functie te vertrouwen. Microsoft, Apple, Mozilla, Google en Opera doen er volgens Klein verstandig aan om hun code te herzien.
Deze posting is gelocked. Reageren is niet meer mogelijk.