image

Criteo misbruikte HSTS-beveiliging om Safari-gebruikers te volgen

zaterdag 23 december 2017, 13:07 door Redactie, 6 reacties

Advertentiebedrijf Criteo heeft een belangrijke beveiligingsmaatregel genaamd HSTS misbruikt om Safari-gebruikers op het internet te volgen. HSTS staat voor HTTP Strict Transport Security en zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.

De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Criteo gebruikte HSTS om data in de browsercache van de gebruiker te krijgen waarmee een unieke identifier werd geproduceerd. Via deze identifier is het mogelijk om Safari-gebruikers te herkennen en ze vervolgens te profileren.

De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen, aldus de Amerikaanse burgerrechtenbeweging EFF. De gebruiker moet namelijk de gehele cache legen om de identifier te verwijderen. Begin deze maand heeft Apple echter een update voor iOS en Safari uitgebracht die het misbruik van HSTS op deze manier voorkomt. Het is niet de eerste keer dat Apple dit jaar de dubieuze praktijken van Criteo dwarsboomt.

Safari blokkeert standaard cookies van derde partijen. Alleen de website die de gebruiker bezoekt mag een cookie plaatsen. Advertentiebedrijven zoals Criteo kunnen alleen zogeheten third-party cookies plaatsen, omdat de gebruiker niet direct hun domein bezoekt. Bij Safari kunnen advertentiebedrijven daardoor geen cookies plaatsen. Criteo vond echter een manier waarbij het Safari-gebruikers onzichtbaar naar Criteo.com leidde en vervolgens zo alsnog een cookie kon plaatsen.

Deze zomer kwam Apple echter met een update voor Safari die de browser van Intelligent Tracking Prevention (ITP) voorziet. ITP zorgt ervoor dat onzichtbare redirects, zoals Criteo gebruikte, niet meer voldoende zijn voor het plaatsen van een cookie. Daarop kwam het advertentiebedrijf met de HSTS-methode, die inmiddels ook niet meer werkt. De EFF maakt zich echter zorgen dat Criteo onderdeel van het Acceptable Ads initiatief is. Dit initiatief is bedacht door het bedrijf achter AdBlock Plus, de populairste adblocker op internet. Advertentiebedrijven betalen Adblock Plus zodat hun advertenties standaard niet worden geblokkeerd. Ook advertenties van Criteo worden zodoende toegestaan.

Gebruikers kunnen deze advertenties wel blokkeren, maar moeten hiervoor de instellingen aanpassen. Slechts 5 tot 10 procent van de gebruikers verandert echter de standaardinstellingen van de software die ze gebruiken. "Het feit dat het Acceptable Ads initiatief het volgen van gebruikers via de HSTS-beveiligingsmaatregel door Criteo goedkeurde is indicatief voor de privacyproblemen die zich in de kern van het Acceptable Ads-programma bevinden", aldus de EFF. De organisatie roept dan ook om geen advertenties goed te keuren die misbruik van beveiligingsmaatregelen maken om gebruikers te volgen.

Reacties (6)
23-12-2017, 13:34 door Briolet
De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen

Volgens mij is het ook de bedoeling van HSTS data, dat die maanden aanwezig blijft. De echte beveiliging van HSTS komt nml pas vanaf het tweede website bezoek. Tenzij de website in kwestie al in de browser voorgeprogrammeerd is.

Volgens mij werkt deze HSTS methode met elke browser, maar wordt hij nu bij Safari gebruikt omdat de klassieke volgmethodes bij de default instellingen van Safari niet goed werken.
23-12-2017, 19:04 door Anoniem
Door Briolet:
De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen

Volgens mij werkt deze HSTS methode met elke browser, maar wordt hij nu bij Safari gebruikt omdat de klassieke volgmethodes bij de default instellingen van Safari niet goed werken.

Niet bij Torbrowser

Torbrowser is een Privacy minded versie van de standaard Firefox ESR distributie.
https://www.torproject.org/
23-12-2017, 20:19 door Briolet
Door Anoniem: Niet bij Torbrowser

Torbrowser is een Privacy minded versie van de standaard Firefox ESR distributie.
https://www.torproject.org/

Vreemde manier van linken, want op die pagina staat niets over HSTS. Dus mag je ook geen conclusies trekken. Waar jij naar linkt is een stuk over de slager die zijn eigen vlees aanprijst.

Als je diep zoekt op die site vind je wel:

Implementation Status: Currently, HSTS and HPKP state is both cleared by New Identity, but we don't defend against the creation and usage of any of these supercookies between New Identity invocations.
Er is dus tot op zekere hoogte wel te volgen.
23-12-2017, 22:31 door Anoniem
De organisatie [EFF] roept dan ook om geen advertenties goed te keuren die misbruik van beveiligingsmaatregelen maken om gebruikers te volgen.

Mooie opmerking maar hoe moet een gemiddelde gebruiker dit weten of achterhalen? Volgens mij is er niemand die een compleet overzicht heeft van alle advertentie bedrijven die er rondwaren. En als we zo'n lijst al hebben; hoeveel van die bedrijven beschikken over een profiel?

Wat mij betreft mag het hele advertentie gebeuren op de schop. De methode is compleet ondoorgrondelijk... (voor de leek gebruiker) precies zoals die advertentie bedrijven dat graag zien want, wat niet weet wat niet deert.

Adblockplus heeft met het Acceptable Ads-programma hun ziel verkocht aan de duivel. Gelukkig zijn er nog zat alternatieven maar het is een kwestie van tijd dat die ook over gekocht worden. Zo blijft het toch een kat-en-muis-spel.
24-12-2017, 11:42 door Anoniem
dat is toch niet aardig en leuk van ze .
24-12-2017, 18:24 door Anoniem
Door Briolet:
Door Anoniem: Niet bij Torbrowser

Torbrowser is een Privacy minded versie van de standaard Firefox ESR distributie.
https://www.torproject.org/

Vreemde manier van linken
Je geeft zelf helemaal geen link anders.

, want op die pagina staat niets over HSTS. Dus mag je ook geen conclusies trekken.
Ja hoor, die trek ik op basis van kennis en ervaring met inderdaad een kleine aantekening die er dan nog bij hoort voor de super puntjes op de super i.

Waar jij naar linkt is een stuk over de slager die zijn eigen vlees aanprijst.
Niet ter zake doend Gezwam.
Het betreft de startpagina van de organisatie waar de techniek vandaan komt.
Je kan als lezer vanaf daar zelf verder.
Mag een site alsjeblieft positief zijn over haar eigen product op haar eigen home pagina?
Wat moeten ze dan, de lezer direct wegjagen door te beginnen met deeplinks en opsommingen van de mitsen en maren??
Het is vrij normaal om bij het begin te beginnen en niet met een deeplink, die je overigens zelf niet eens geeft.
Onnodige suggestieve zwam opmerking dus.

Als je diep zoekt op die site vind je wel:

Implementation Status: Currently, HSTS and HPKP state is both cleared by New Identity, but we don't defend against the creation and usage of any of these supercookies between New Identity invocations.
Er is dus tot op zekere hoogte wel te volgen.
Nou nee, dat kan dus netter.

- Waar heb je de informatie vandaan?
- Geen context weglaten omdat je dat beter uitkomt.
- Komt hier vandaan
https://www.torproject.org/projects/torbrowser/design/#identifier-linkability
Meer specifiek
https://www.torproject.org/projects/torbrowser/design/#identifier-linkability
4.5. Cross-Origin Identifier Unlinkability
[..]
Identifier Unlinkability Defenses in the Tor Browser
[..]

14. HSTS and HPKP supercookies

An extreme (but not impossible) attack to mount is the creation of HSTS supercookies. Since HSTS effectively stores one bit of information per domain name, an adversary in possession of numerous domains can use them to construct cookies based on stored HSTS state.

HPKP provides a mechanism for user tracking across domains as well. It allows abusing the requirement to provide a backup pin and the option to report a pin validation failure. In a tracking scenario every user gets a unique SHA-256 value serving as backup pin. This value is sent back after (deliberate) pin validation failures working in fact as a cookie.

Design Goal: HSTS and HPKP MUST be isolated to the URL bar domain.

Implementation Status: Currently, HSTS and HPKP state is both cleared by New Identity, but we don't defend against the creation and usage of any of these supercookies between New Identity invocations.

Torbrowser beschermt dus Wèl tegen supercookies, met een nog meer aanvullende garantie in de vorm van de mits je je verbinding cq identity vernieuwt (als je al iets anders deed waaruit je identiteit op dat moment kon blijken!).
Dat was de aantekening die ik er niet expliciet bij vermeldde inderdaad en die wat mij betreft best bij de expliciete aanbevelingen van de download pagina mag van Torbrowser.

Vernieuw je identity regelmatig, mogelijk per site bezoek, maar in ieder geval als het kritisch is.

Aan de andere kant, heb je de keuze je security slider op hoog te zetten (minimaliseren van javascripts) en ben je bij standaard gebruik waarbij je geen activiteiten uitvoert die gelinkt zijn aan jouw naam dus wel beschermd want zelfs als er een cookie geplaatst was dan weet men niet wie men volgt gedurende de sessie.
En het anonimiserende karakter van Torbrowser zit hem onder meer in het feit dat ze je ip adres verhult, dus daat is ook al geen werkbare identiteitstracking link.

Torbrowser is een uitmuntende privacy browser, Safari is dat niet.
Maar Safari is daarvoor ook niet ontworpen, daar zit een heel ander gebruikers idee achter net zoals Torbrowser weer minder goed is in zaken waar Safari goed in is.

Afsluitend : Torbrowser is de beste privacybrowser die er ongeveer is op dit moment en als je je houdt aan alle aanbevelingen en de browser slim (=niet dom of onnodig nonchalant) gebruikt een geweldige oplossing die ook criteo te slim af is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.