image

Google kondigt nieuwe maatregel aan tegen cookiediefstal

woensdag 3 april 2024, 09:37 door Redactie, 11 reacties

Google heeft een nieuwe maatregel aangekondigd die gebruikers tegen cookiediefstal moet beschermen. Het techbedrijf stelt dat het geen nieuwe trackingmethode wordt en gebruikers het kunnen uitschakelen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd.

Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal heeft Google nu 'Device Bound Session Credentials' (DBSC) bedacht. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt.

DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module (TPM). Daarnaast wordt er ook naar softwarematige oplossingen gekeken.

De server waarop de gebruiker inlogt koppelt de sessie aan de public key van de gebruiker en kan gedurende de levensduur van de sessie verifiëren of de gebruiker de bijbehorende private key bezit. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen.

Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld.

Google verwacht op basis van de hardware waarmee Chrome-gebruikers werken dat DBSC voor ongeveer de helft van desktopgebruikers beschikbaar komt. Op dit moment wordt er geëxperimenteerd met een prototype van DBSC dat alleen bij een Google-account is te gebruiken. Later dit jaar moeten er verdere tests plaatsvinden. Google benadrukt verder dat DBSC in een third-party context dezelfde beschikbaarheid en segmentatie heeft als third-party cookies, om er zo voor te zorgen dat DBSC geen nieuwe trackingmethode wordt zodra third-party cookies zijn uitgefaseerd.

Reacties (11)
03-04-2024, 10:20 door buttonius
Dit zou zomaar kunnen helpen. We verbazend dat ze dit niet 10 jaar geleden al hebben bedacht en ingevoerd.

Ik had - tot nu toe - aangenomen dat session keys op een of andere manier gebonden zijn aan je computer, je browser, en/of IP nummer, maar kennelijk is dat niet zo. Misschien was dat een beetje naïef van mij.

Om dit goed te kunnen doen zal je een computer-gebonden kenmerk moeten gebruiken dat niet te kopiëren is. Gebruik van de TPM ligt daarbij voor de hand. Een puur softwarematige oplossing kan nooit echt veilig zijn. Malware die je session keys kan stelen kan elke puur softwarematige beveiliging omzeilen.
03-04-2024, 10:20 door Anoniem
de publiek key is in dit scenario DE unieke eigenschap van elke browser en dus uniek identificeerbaar en dus perfect voor tracking en correlatie tussen gebruik. Je ziet zo hoeveel browser(profielen) een gebruiker heeft. Daarmee kun je hele mooie stergrafieken maken van elke internet gebruiker in het universum.
03-04-2024, 10:51 door MathFox
Als je toch al malware op een systeem hebt draaien om cookies te stelen, dan neem je die private device sleutels toch ook mee...
03-04-2024, 11:03 door Anoniem
Door MathFox: Als je toch al malware op een systeem hebt draaien om cookies te stelen, dan neem je die private device sleutels toch ook mee...

Eigenlijk niet, als ze in een TPM module opslaan van de processor.
Dan heb je toegang nodig tot het systeem (met de malware) en een manier om in die module in te breken.
Wat wel lastig blijft, zelfs al heb je zelfs fysiek toegang tot het systeem.
03-04-2024, 11:33 door buttonius
Door MathFox: Als je toch al malware op een systeem hebt draaien om cookies te stelen, dan neem je die private device sleutels toch ook mee...
Niet als die private device sleutels in de TPM staan. De huidige implementaties van TPM zijn misschien niet perfect, maar je hebt wel bijzonder knappe malware nodig om informatie uit de TPM te stelen zonder fysieke toegang tot de computer.
03-04-2024, 12:38 door Anoniem
Tracking Cookies in je firmware. Geweldig idee Google!
03-04-2024, 13:53 door Anoniem
Dit is malware bestrijden met malware, die dan opeens geen malware meer is maar "bescherming tegen diefstal".
Zo doet de mafia dat ook, je krijgt van hun ook "bescherming".
03-04-2024, 14:18 door Anoniem
Door Anoniem: de publiek key is in dit scenario DE unieke eigenschap van elke browser en dus uniek identificeerbaar en dus perfect voor tracking en correlatie tussen gebruik. Je ziet zo hoeveel browser(profielen) een gebruiker heeft. Daarmee kun je hele mooie stergrafieken maken van elke internet gebruiker in het universum.
Volg even de link in het artikel en blader omlaag naar de paginabrede afbeelding van de interacties tussen de verschillende systeemcomponenten. Daaruit blijkt dat bij de start van elke sessie de TPM opdracht krijgt een sleutelpaar te genereren en de publieke sleutel teruggeeft. Tenzij ik het helemaal verkeerd interpreteer is het sleutelpaar uniek voor de sessie en valt er niets te correleren met andere sessies.
04-04-2024, 11:07 door Anoniem
Amit Zac, rechtsgeleerde en universitair docent aan de Universiteit van Amsterdam (UvA), onderzocht of websites zich echt aan de Europese privacywetgeving houden. “De resultaten zijn onthutsend,” zegt hij. “Als zoveel mensen zich niet aan de verkeersregels zouden houden, zou je de straat niet opgaan.”

“Daarnaast keken we naar zogenoemde dark patterns, die ervoor moeten zorgen dat je sneller toestemming geeft. De toestemmingsknop is dan bijvoorbeeld gekleurd en duidelijk zichtbaar, terwijl de weigerknop grijzig is en weggestopt zit. Ruim 67 procent van de websites doet dit.”

https://www.parool.nl/nederland/90-procent-van-websites-lapt-regels-voor-cookies-aan-laars-ontdekte-amsterdamse-onderzoeker-onthutsend-veel~b73c5419/
04-04-2024, 14:58 door Anoniem
Tracking cookies afgewezen? Grote kans dat je data nog steeds worden verzameld
Said no to tracking cookies? Good chance your data are still being collected

Faculteit der Rechtsgeleerdheid
Amsterdam Law School

21 maart 2024 | 21 March 2024

Opzettelijke privacyschending
Intentional privacy violations

In hoeverre houden websites zich aan de toestemmingsvereisten? Dat is de vraag die Zac stelde in het onderzoek dat hij uitvoerde samen met de afdeling Computerwetenschappen van de ETH Zürich. Ze creëerden een geautomatiseerde tool die werkt op basis van machine learning-methoden, waarmee ze 100.000 websites in Europa konden analyseren. De resultaten waren onthutsend: ongeveer 90 procent van de websites bleek niet te voldoen aan ten minste één vereiste.

https://www.uva.nl/en/shared-content/faculteiten/en/faculteit-der-rechtsgeleerdheid/news/2024/03/control-your-cookies.html

Amit Zac is docent bij het Amsterdam Center for Law & Economics (ACLE) aan de Faculteit der Rechtsgeleerdheid. Hij promoveerde aan Oxford. The full research paper: ‘Automated Large-Scale Analysis of Cookie Notice Compliance’ [PDF ]

https://www.usenix.org/system/files/sec23winter-prepub-107-bouhoula.pdf


‘Op dit moment werkt het cookie-systeem niet,’ meent Zac. Dus hoe lossen we deze kloof tussen de wet en praktijk op?
08-04-2024, 16:00 door Anoniem
Met regelmaat cookies verwijderen en geen 'Remember Me' aanvinken kan je enigszins helpen qua bescherming. Sowieso wel verstandig om dit te doen ivm tracking.

Stolen Session Cookies: The Next Big Cyber Threat
Additionally, disabling "remember me" options on platform login pages and frequently deleting cookies stored in a browser reduces the risk of session hijacking, ensuring that criminals don't obtain access to active session cookies, even in the case of malware infection. - https://www.forbes.com/sites/forbestechcouncil/2023/07/24/stolen-session-cookies-the-next-big-cyber-threat/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.