image

Google ontdekt privacyprobleem in browserextensie Privacy Badger

donderdag 8 oktober 2020, 17:14 door Redactie, 9 reacties

De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd.

Een verschil met veel andere privacy-extensies die trackers blokkeren is dat Privacy Badger niet met blocklists werkt of interactie van gebruikers vereist. De privacyplug-in kijkt namelijk naar het gedrag van trackers op websites. Zodra Privacy Badger ziet dat hetzelfde third-party domein de gebruiker op drie verschillende websites volgt besluit het die te blokkeren.

Doordat Privacy Badger eerst moet leren welke trackers de gebruiker tegenkomt voordat het die kan blokkeren, dachten veel gebruikers dat de plug-in niet werkte. In het begin worden er namelijk geen trackers en advertenties geblokkeerd. Twee jaar geleden verscheen er een nieuwe versie die standaard allerlei trackers blokkeert, zodat gebruikers weten dat die werkt.

Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken.

Wanneer een gebruiker van Privacy Badger een website zou bezoeken had een tracker een script kunnen uitvoeren dat ervoor zorgde dat de extensie een unieke combinatie van domeinen zou blokkeren. Wanneer de tracker ook op andere websites actief was kon die de fingerprint van de gebruiker uitlezen en hem zo op deze andere websites volgen. Het was ook mogelijk voor een tracker om te achterhalen of de gebruiker bepaalde websites had bezocht, ook al draaide er geen code van de tracker op deze websites.

De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken.

Reacties (9)
08-10-2020, 17:38 door Anoniem
De selflearning tool in deze extensie is slechts uit te schakelen voor gebruik in incognito modus. Wel kun je kun je de 'learned' blocklist handmatig naar default resetten. Zelfs deze default blocklist is te verwijderen, voor de liefhebbers.
Beter nog, draai browser virtueel/sandboxed.
Verder een prettig programma, dat Privacy Badger. Voor deze keer: Google, bedankt!

..awaiting the fix..
08-10-2020, 17:48 door Anoniem
Dit lijkt wel op een fair game policy voor Google medewerkers. Tegenstanders mag je aanpakken en met eigen al dan niet tegengestelde doelstellingen om de oren slaan.
08-10-2020, 18:11 door Anoniem

Google die een privacy probleem ontdekt .... L O L
08-10-2020, 23:18 door Goeroeboeroe - Bijgewerkt: 08-10-2020, 23:19
Met de laatste update (vandaag, 8 oktober) is het zelf lerende deel standaard uitgeschakeld. Je kunt het wel handmatig inschakelen.
08-10-2020, 23:28 door Anoniem
Ga eens naar een willekeurige website en scan dan op https://webcookies.org/
Dan krijg ik 400 Bad Request No required SSL certificate was sent (waarschijnlijk misconfiguratie op de server)
Werkt die site, dan heb je aan de hand van de scanresultaten een aardig beeld hoe je getrackt wordt.

luntrus
09-10-2020, 09:28 door Anoniem
Ik heb deze even geinstalleerd en uiteraard is de zelflerende functie standaard uitgeschakeld, dus met andere woorden is de hele functionaliteit waarvoor deze extensie eerst was voor bedoeld, helemaal verdwenen. Kan je net zo goed ublock origin gebruiken.

D'r zit zelfs nog een typfout in de extensie als je over de uitroepteken gaat. Wirdt ipv wordt :')
09-10-2020, 10:49 door Anoniem
Door Anoniem:

Google die een privacy probleem ontdekt .... L O L

Idd :-)

Bedenk wel dat met privacy geen enkel datapakketje de weg meer weet te vinden. In potentie een goede grap, maar het is wel serieus bedoeld.
09-10-2020, 12:30 door Anoniem
Technisch gezien is het geen “ontdekking” van Google aangezien het finger print euvel al maanden terug bij Privacy badger was gemeld, direct toen ze met hun nieuwe versie kwamen en van de tekortkoming ook publiekelijk details hebben gedeeld.
Dat werd vervolgens ook nog eens in podcasts in de VS en volgens mij ook bij BNR besproken.
Het kan dus hoogstens gaan om een bevestiging van de optie, een demonstratie ervan of variant op het reeds gemelde euvel.
09-10-2020, 20:17 door Anoniem
Door Anoniem:

Google die een privacy probleem ontdekt .... L O L
Ach, ze maken gewoon reclame dat hun privacy wel goed zit. Je zou het kunnen zien als een marketingstunt en je moest eens weten hoeveel mensen daar nu in zullen geloven. Reclame hé...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.