image

Onderzoek: Featurerijke browser onnodig privacyrisico

dinsdag 24 oktober 2017, 15:15 door Redactie, 11 reacties

Browsers brengen de privacy en veiligheid van gebruikers in gevaar door allerlei functionaliteiten te bieden die helemaal niet noodzakelijk zijn of door websites worden gebruikt, zo stellen computerwetenschappers van de Universiteit van Illinois aan de hand van eigen onderzoek.

De laatste jaren hebben browsers tal van nieuwe features gekregen die allerlei soorten webapplicaties mogelijk maken. Ook zijn functionaliteiten die voorheen via plug-ins werden toegevoegd nu een kernonderdeel van de browser geworden. Sommige van deze features brengen ook de privacy en veiligheid van gebruikers in gevaar door fouten in de implementatie, onbedoeld gebruik of de manier waarop ze zijn samengesteld, aldus de onderzoekers.

Op dit moment is er nog geen methode om de voordelen van een feature tegen de nadelen af te wegen. Een rechtenmodel waarbij alleen de noodzakelijke functionaliteit van de browser wordt ingeschakeld zou veiligheidsvoordelen hebben, maar kan voor problemen met de werking van bepaalde websites zorgen. De onderzoekers ontwikkelden daarom een model dat de voor- en nadelen afweegt als websites standaard toegang tot een bepaalde browserfeature hebben.

Het model werd gebaseerd op het aantal websites dat een bepaalde feature vereist voor het bieden van een dienst waar gebruikers echt iets aan hebben tegenover het aantal kwetsbaarheden in dergelijke features, het aantal regels code en academische aanvallen die met de functionaliteit samenhangen. Het model werd vervolgens op 74 web-programmeerinterfaces (api's) binnen moderne browsers toegepast.

"We ontdekten dat het standaard toegang geven van websites tot grote delen van de web-api behoorlijke security- en privacyrisico's met zich meebrengt zonder overeenkomstige voordelen", aldus de onderzoekers. Als een voorbeeld noemen de onderzoekers functionaliteit waardoor websites grafische berekeningen kunnen uitvoeren. Eerlijke websites maken hier zelden gebruik van, maar kwaadaardige websites kunnen hiermee de security en privacy van gebruikers schaden.

Extensie

Om de impact van bepaalde features te testen ontwikkelden de onderzoekers een browser-extensie waarmee gebruikers de toegang tot risicovolle features per website kunnen instellen. Vervolgens werd de extensie vergeleken met twee beveiligde browserconfiguraties. Dan blijkt dat het blokkeren van 15 van de 74 web-api's die standaard in browsers staan ingeschakeld ongeveer de helft van de gerelateerde beveiligingslekken voorkomt, zonder dat dit gevolgen voor bijna 95 procent van de geteste websites heeft.

"Uiteindelijk zagen we dat ongeveer 25 procent van de web-api's grote risico's voor security en privacy vormden en zonder gevolgen voor de werking van websites kan worden geblokkeerd", zegt onderzoeker Peter Snyder. Hij stelt dat door het blokkeren van riskante functionaliteit de hoeveelheid code die een website kan benaderen ook wordt beperkt. "Hoe minder code er via de web-api beschikbaar is, des te veiliger websites zullen zijn", merkt hij op.

"Simplistische aanpakken zoals het verwijderen van elke feature die niet absoluut noodzakelijk is zijn geen praktische oplossingen voor dit probleem", aldus de conclusie van de onderzoekers. Ze stellen dat het belangrijk is dat gebruikers zelf kunnen bepalen tot welke features websites toegang hebben. Zo blijven websites werken en kan in risicovolle situaties de beschikbare featureset worden aangepast. Het onderzoek (pdf) wordt volgende week tijdens een securityconferentie in Dallas gepresenteerd.

Image

Reacties (11)
24-10-2017, 15:45 door Bitwiper
Eerder deze maand rapporteerde Lukasz Olejnik [1] al dat de Web Payments API in Chrome misbruikt kan worden.

Hoewel het hier een fingerprinting lek betreft (niet ongeautoriseerde afschrijvingen), vraag ik mij af wie in vredesnaam bedenkt dat het een goed idee is als onze web browsers creditcard nummers, verloopdatum en CCV code gaan onthouden en voor ons invullen?

Bijna iedereen op security.nl klaagt over de onveiligheid van Flash, maar hoeveel lekken worden er ondertussen elke maand in alle webbrowsers gevonden en gepatched?

[1] https://blog.lukaszolejnik.com/privacy-of-web-request-api/
Bron: https://www.theregister.co.uk/2017/10/06/another_w3c_api_exposing_users_to_browser_snitching/
24-10-2017, 16:31 door Anoniem
Ik vond het met FF38.8esr wel welletjes.
Merkte laatst dat de nieuwere browserversies niet eens meer naar de hostsfile luisteren?
In ieder geval kon je al die "phone home" van de browser er niet meer mee tegenhouden.
24-10-2017, 17:13 door Anoniem
Onrealistische Statistiek

Die tabel staat vrij haaks op mijn ervaring als het om Nederlandse websites gaat en daarnaast is het nog een keer de vraag hoe Noscript is geconfigureerd.
Veel Nederlandse (en Europese) websites, vrijwel geen verlies aan functionaliteit met zeer actieve Noscript.
Tenzij je websites bezoekt die beginnen te mekkeren over geblokkeerde advertenties en er moeite voor doen jou te bewegen Noscript van je systeem af te schuiven.

Dat laatste geldt in zeer uitvergrote mate voor veel Amerikaanse websites die er niet voor schromen trackerbombardementen te embedden en de site te overladen met gierend uit de klauw lopende javascript naar niet meer te tellen 3rd party domeinen.
Dus de conclusie is buitengewoon sterk afhankelijk van welke sites je bezoekt in welk werelddeel en hoe je dan dat 'breken' definieert.

Nu lijkt het alsof NoScript het browsen onmogelijk maakt en Torbrowser eigenlijk geen doen is.
Onzin, en zeker in die mate.

Wil je dynamiek en veel toeters en bellen?
Ja, dan zit Noscript in de weg, maar dat is nou juist de functie ervan : jouw security en privacy (en bandbreedte gebruik) beschermen door die volkomen uit de klauwen lopende javascript(misbruik)functionaliteit in te dammen.

Wat Mozilla er jaren allemaal al aan onzin onder de motorkap in de about:config aan dom-functionaliteit in knalt, ja daar kan heel wat van af. Onder privacy gebruikers ook al jaren bekend dat je hele lijsten moet afwerken aan rotzooi die je moet uitschakelen om het weer een beetje normaal te krijgen qua privacy.
Maar dat was niet het idee, bij mozilla zijn ze ervan overtuigt dat meer van dit soort rommel ze meer marktaandeel gaat brengen.

Het flitst en flatst en fratst en mistt, rara wat is dat?
Firefox de fratsscriptbrowser (of dat restje wat ervan over is).
Noscript is in die browser een essentiele benodigdheid en Torbrowser is de beste versie van Firfox die Mozilla niet kon maken.

Nogmaals, bijna 45% gebroken sites met noscript is onzin voor redelijk normaal passief gebruik.
Maar inderdaad, als de beer helemaa los moet en privacy je volstrekt niet interesseert en je graag om de oren geslagen wordt met advertenties en autostartende videocontent, ja dan zijn NoScript en Torbrowser niet voor jou weggelegd.

Maar geef niet de schuld aan techniek als je de context niet meerekent : dom zwart-wit turven, daar heeft niemand wat aan.
Jammer ook dat men de websites niet heeft genoemd in het pdf.
24-10-2017, 17:25 door Anoniem
Nou, Firefox, trek daar je lessen maar uit. (Firefox Pocket, Firefox Screenshots, Firefox Sync)
24-10-2017, 18:06 door Anoniem
@Bitwiper,

Script en verzoeken blokkeren door middel van NoScript, Request Policy en uMatrix bij voorbeeld,
zijn de meest zinnige maatregelen, die we kunnen nemen in de browser.

Toch gaat fingerprinting door via onzichtbare cookies, canvas- en font fingerprinting.

Kijk hoe identificeerbaar en profileerbaar je op het Internet bent, via: https://amiunique.org/
Ja op deze zelfde site krijg ik ook een fingerprinting verzoek geblokkeerd.
Daar gaan we dan wel weer!

Waarom ben ik uniek?

Breken we de factoren op, dan ben ik een beetje traceerbaar via mijn browser user agent.
Meer dan 30% vanwege de header, die ik naar de server stuur.
Nog eens 14% via de manier waarop mijn content is gecodeeerd.
Dan een frutje via de taal die ik gebruik.

0,22% vanwege gebruikte plug-ins ontkracht het verhaal hierboven eigenlijk flink,
maar de details van sommige plug-ins spreken met meer dan 75% dan echter wel weer boekdelen.
En vergeet zeker niet de 33% van mijn adblokker gebruik.

Er is eigenlijk geen goede ontsnappingsroute buiten tor en tails meer in dit online profileringscircus denkbaar.
Privacy = dead, een terechte conclusie thans.

Als we niet iets anders willen met zijn allen of er vrede mee hebben,
blijft dat wel zo of wordt het misschien zelfs wel erger.

groetjes van

luntrus
24-10-2017, 20:28 door Anoniem
Door Anoniem: @Bitwiper,

Script en verzoeken blokkeren door middel van NoScript, Request Policy en uMatrix bij voorbeeld,
zijn de meest zinnige maatregelen, die we kunnen nemen in de browser.

Toch gaat fingerprinting door via onzichtbare cookies, canvas- en font fingerprinting.

Kijk hoe identificeerbaar en profileerbaar je op het Internet bent, via: https://amiunique.org/
Ja op deze zelfde site krijg ik ook een fingerprinting verzoek geblokkeerd.
Daar gaan we dan wel weer!

Waarom ben ik uniek?

Breken we de factoren op, dan ben ik een beetje traceerbaar via mijn browser user agent.
Meer dan 30% vanwege de header, die ik naar de server stuur.
Nog eens 14% via de manier waarop mijn content is gecodeeerd.
Dan een frutje via de taal die ik gebruik.

0,22% vanwege gebruikte plug-ins ontkracht het verhaal hierboven eigenlijk flink,
maar de details van sommige plug-ins spreken met meer dan 75% dan echter wel weer boekdelen.
En vergeet zeker niet de 33% van mijn adblokker gebruik.

Er is eigenlijk geen goede ontsnappingsroute buiten tor en tails meer in dit online profileringscircus denkbaar.
Privacy = dead, een terechte conclusie thans.

Als we niet iets anders willen met zijn allen of er vrede mee hebben,
blijft dat wel zo of wordt het misschien zelfs wel erger.

groetjes van

luntrus

Nou vooruit,

Alweer jaren geleden eens onderzoek gedaan naar een hele trits addons met firefox, qua snelheden, vertragingen en vooral niet te vergeten uniciteits profielen bij die panopticum site van eff.
Hoe meer addons je gebruikt hoe unieker je profiel.
Addons kunnen websites behoorlijk breken, zoals hiet beweerd.
Maar er is helaas maar 1 (schitterende) addon die beide goed voorelkaar krijgt en dat is ......

Juist,.. :
Request Policy

Schitterende eenvoud van een addon maar helaas te weinig gebruikt.
Doe hem erbij in het pakket en je uniciteit schiet als een pijl omhoog naar uniek of bijna uniek.
Test het zelf maar met de addon uit en ingeschakeld of geinstalleerd en niet geinstalleerd.

Weet je welke addon ook nog veel sites breekt zonder dat je het direct doorhebt of er achter komt?
Het hier door een vaste schare opgehemelde ublock.
Adblock plus is echt veel beter in werking maar heeft ook een hoger cpu verbruik (ook uitgebreid onderzocht een keer hier).
Ublock wordt hier opgehemeld met scheve argumenten en dat is op zich jammer, hoeft niet, ze moet alleen nog een beetje uitpuberen en volwassen worden.
24-10-2017, 22:29 door Anoniem
@ anoniem van 20:28,

Bedankt voor je ter zake doende reactie, met name aangaande request policy. Zo ontwikkelt zich een interessante draad met goede info en voor "elck wat wils". Daar gaan we graag voor.

Daarom was ik op android ook een beetje onder de indruk van de Brave browser, ondanks dat sommigen de ontwerper van de browser vanwege zijn orthodox christelijke levensovertuiging en de volgens hen verwerpelijke denkbeelden aan de kant hebben gezet. Dat laat evenwel de kwaliteit van de geboden browser toch niet geheel onverlet.

De features zitten in deze browser standaard ingebouwd en veranderen het profiel dus veel minder. Maar van de brenger van javascript verwachten we ook niet anders. Brave als een "plusser" aan de ene kant van het spectrum en een gimmick kloon als de Browzar IE browser aan de andere.

Ook een browser, die duidelijk minder aanvalsoppervlak heeft, zoals de japanse Sleipnir, is het overwegen waard, omdat je je dan buiten de monocultuur van de veelgebruikte Amerikaanse en Europese browsers begeeft.

Jan Palant heeft een hele goede adblocker ontwikkeld, alleen het systeem met de getolereerde ads (vnml. van Google) bevalt mij persoonlijk wat minder. Ik zie meer in een adblocker oplossing als Adguard, die je ook als beta tester lang gratis kan testen, en dan zijn er ook de linux-achtige oplossingen, die onder een dhcp server draaien.

Er is dus nog genoeg door te ontwikkelen. Toggelen om alleen toe te laten hetgeen voor het gewenste functioneren van de website nodig is, is de beste weg. Helaas is het gebruik van NoScript en RequestPolicy of uMatrix niet voor iedereen weggelegd, maar met een beetje hulp, instructie en goede wil wel aan te leren. Ik denk wel dat menig security savvy gebruiker het toch ergens onder de browser motorkap heeft draaien inmiddels.

luntrus
25-10-2017, 01:30 door Anoniem
Hier nog een aantal mogelijke scanners: http://www.malwarehelp.org/online_browser_security_and_privacy_scanners.html

Een buitenbeentje in dit geval is: https://www.leader.ru/secure/who.html
en uitgebreider: https://do-know.com/privacy-proxy-test.html?

Geeft aan dat ik me in een FVEY land bevind - Nederland.
Verder vermeldt het ook een extra intern IP adres en dat er 2 CPU cores worden gedetecteerd.
25-10-2017, 07:53 door Anoniem
Door Anoniem: Onrealistische Statistiek

Die tabel staat vrij haaks op mijn ervaring als het om Nederlandse websites gaat en daarnaast is het nog een keer de vraag hoe Noscript is geconfigureerd.
[...]
Maar geef niet de schuld aan techniek als je de context niet meerekent : dom zwart-wit turven, daar heeft niemand wat aan.
Jammer ook dat men de websites niet heeft genoemd in het pdf.
Als je die PDF leest dan kan je er nog heel wat uithalen. Bijvoorbeeld dat ze NoScript met de default-instellingen hebben getest, dat ze de top-10000 sites van Alexa van 1 juli 2015 als basis heeft genomen (toen startte hun onderzoek), en voor de bruikbaarheidstests daaruit weer een aantal non-pornografische Engelstalige sites (dat zou te maken kunnen hebben met het gegeven dat Engelstalige mensen dit onderzoek uitvoerden).

Waarom meteen zo denigrerend als je je niet in iets herkent? Die mensen zijn niet "dom" of "onrealistisch" bezig geweest met "dom zwart-wit turven", ze hebben zich (nogal wiedes) niet op jouw persoonlijke favorieten onder de Nederlandse websites gericht maar op iets breders, en ze beschrijven heel wat beter dan jij hoe ze hun selectie hebben gedaan en tot hun conclusies zijn gekomen. Hun doel is het jouwe niet, en ze hebben resultaten waar browsermakers iets van kunnen opsteken, en die richten zich niet alleen op jou en ook niet alleen op Nederland.
25-10-2017, 16:41 door Anoniem
Door Anoniem:

Daarom was ik op android ook een beetje onder de indruk van de Brave browser, ondanks dat sommigen de ontwerper van de browser vanwege zijn orthodox christelijke levensovertuiging en de volgens hen verwerpelijke denkbeelden aan de kant hebben gezet. Dat laat evenwel de kwaliteit van de geboden browser toch niet geheel onverlet.

Je raakt hier aan een essentie die heel diep is.
Beoordeel je een product op het louter zijn of binnen de context waarin zij ontstaan is.
Als je bereid bent tot dat laatste is niets in gebruik een principieel probleem en heb je alleen een praktisch probleem Bijvoorbeeld hoe omzeil ik een boycot die anderen hebben ingesteld omwille van principiele zaken, dat is hier niet in wettelijke zin aan de hand maar het is een voorbeeld.

Een ander wereldberoemd voorbeeld is de volgende.
Ooit was er een hele beroemde filmmaakster die werkelijk adembenemend mooi gestyleerde films wist te maken, zo mooi dat het ook buitengewoon effectief was om in te zetten als propaganda materiaal.
Ik heb het over Leni Riefenstahl
https://en.wikipedia.org/wiki/Leni_Riefenstahl

Als je even bewust vergeet binnen welke context de film werd gemaakt, ten tijde van en met als opdrachtgever het nazi regime in combinatie met een persoonlijke vriendschap met adolf hiltler, zijn de films van een niet te weerleggen schoonheid.
Maar als je de context wel meeneemt, ja dan kijkt dat toch wat anders.

Leni riefenstahl doneerde geen geld aan het nazi regime en hield er zelfs geen openlijke sociaal maatschappelijk mensbeeld op na als dat een bepaalde sociale omgamg tussen sommigen mensen boven (uber) dat van anderen stond.
Ze maakte slechts films in opdracht.
De browser die je hier noemt heeft een maker die weer niets met het nazi regime te maken heeft maar doneert weer wel aan instituten die wetten voor gelijkwaardige behandeling van mensen blokkeren. Een meer openlijk politieke stellingname en betrokkenheid in het mensenrechtendebat (en het ontkennen ervan).

Als je die context weg laat za de code en de vormgeving van de browser vast heel mooi zijn.
Als je wel de context meeneemt, wat niet heel raar is omdat ze deel is van onze maatschapij, dan komt dat 'smaakje' weer om de hoek.

Nou het volgende, je bent op zich niet ongevoelig voor rechte en de gevolgen van geschonden rechten als het gaat om die van jezelf. Je doet er immers allerlei techische handelingen voor om jezelf te beschermen.
Daarmee geef je aan dat je best gevoelig bent voor een context van zaken en ook kritiesch om je heen kijkt.
Als je dat doet is op zich de stap nog maar heel klein om ook bereid te zijn anderen hun rechten te gunnen en niet even kieskeurig de andere kant op te kijken.

Alles is politiek of juist niets, selectieve balansen zoeken doen we allemaal, maar dat is toch weer wat anders als soms helemaal niet willen zien en soms alles.
Die combinatie wringt zogezegd.

Beetje maatschappelijk-filosofische insteek maar ik hoop dat je de drift catcht.
25-10-2017, 23:47 door Anoniem
@ anoniem van 16:41

Ik begrijp je insteek wel. Kwaad en goed zijn twee kanten van dezelfde medaille. Ik zie ze liever niet als oppositioneel, dat zit ook bij onze cultuur zo vanuit de christelijke traditie ingebakken. Kwaad heeft alleen veel meer tijd nodig als goed om hetzelfde doel te bereiken. G*d omvat alles. Dit idee komt ook mooi tot uitdrukking in symboliek van de "checkered floor" met de dualiteit van goed en kwaad uitgebeeld als zwarte en witte vloertegels.

Daarom is het ook veel beter om steeds weer aan onverdachte code te blijven vasthouden en niet te gaan sjoemelen met achterdeurtjes of verzwakkingen, die later als een boemerang tegen je eigen systeem kunnen worden gebruikt en ook al ingezet zijn. We zijn geen kleuters in een digitale speeltuin, toch?

Mainland China heeft die gedachte al heel snel opgepakt en elke codeur laten screenen, maar steeds door een andere supervisor, zodat de zaak zuiver bleef en overtredingen zwaar werden bestraft.

Ik kan je filosofische insteek wel waarderen, als je tenminste andere minderheid standpunten ook ruimte wil geven.

In de eerste plaats moeten toch zuiver het technische debat hier durven aangaan, want daar draait het uiteindelijk om. Als de privacy van een half werelddeel geschonden kan worden omdat stiekem ergens de code ondergraven wordt door binnen commerciële organisaties geplante/gesmokkelde overheid-"spooks"/codeur-hackers, dan zijn of worden we zelf onze ergste cyberbedreiging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.