Een beveiligingsonderzoeker heeft een probleem in Chrome. Firefox en Internet Explorer ontdekt waardoor het weer mogelijk is voor websites om de surfgeschiedenis van bezoekers te achterhalen. Een probleem waarmee de browsers in het verleden ook al meerdere malen mee te maken kregen.
Het nieuwste probleem werd door Aäron Thijs ontdekt, student aan de Belgische Universiteit Hasselt. De aanval die Thijs ontwikkelde is gebaseerd op onderzoek van collega-onderzoeker Paul Stone, die zijn werk vorig jaar al presenteerde. De aanval van Thijs maakt gebruik van een programmeerinterface genaamd requestAnimationFrame. Deze interface is eigenlijk ontwikkeld om animaties soepeler af te spelen.
Het kan echter ook worden gebruikt om te bepalen hoe lang een browser doet over het weergeven van een bepaalde website. Door verschillen te meten in de tijd die een browser nodig heeft om een bepaalde link weer te geven, kan een aanvaller bepalen of een specifieke website al eens is bezocht.
Voor zijn demonstratie keek Thijs alleen of mensen Facebook hadden bezocht. "Het kan echter ook worden gebruikt om op een groot aantal websites te controleren. Als het script op een website wordt ingebed die iemand bezoekt, kan het stilletjes in de achtergrond draaien en de resultaten terug naar de aanvaller sturen", zo laat de student tegenover Ars Technica weten. Mozilla zou volgens Thijs aan een update werken.
Een bericht op het Microsoft forum waar de student het probleem dit weekend kenbaar maakte werd op privé gezet, maar is nog wel via de cache van Google te vinden. Het probleem zou inmiddels ook door de ontwikkelaars van Chrome worden besproken. Gebruikers die zich tegen de aanval willen beschermen krijgen het advies om regelmatig hun geschiedenis te verwijderen of de browser zo in stellen dat er helemaal niets wordt opgeslagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.