• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Starke Samsung Galaxy Note 4 Spezifikationen - Hae ...

von Sascha Pallenberg

Next Story
Lenovo ThinkPad 8 wird dank Windows 8.1 mit Bing d ...

von Carsten Drees

Facebook-User mit Google Chrome deanonymisieren

von Carsten Dobschat am 14. August 2014
  • Email
  • @dobschat

Was nun folgt mag für die meisten eher sehr theoretisch klingen und man braucht vielleicht auch etwas Phantasie, um sich mögliche Einsatzzwecke für diesen Bug einfallen zu lassen, aber es gibt ihn und er zeigt exemplarisch, um wie viele Ecken man denken muss, wenn es um Sicherheit und Privatsphäre im Netz geht.

Entdecker Pascal Landau beschreibt das von ihm entdeckte Problem in einer Kurzfassung so:

Durch die Implementierung eines veralteten Protokollstandards der Content Security Policy in Google Chrome können die öffentlichen Profildaten von Facebook Nutzern ohne deren zutun ermittelt werden. Der Angriff ist speziell für vorab definierte, zu überwachende Personengruppen geeignet.

Ein paar Erläuterungen: Content Security Policy (CSP) sollen verhindern, dass Schadcode in eine Website eingebunden wird. Eine Website legt also vorab fest, von welchen Adressen Ressourcen nachgeladen werden dürfen und von welchen nicht und der Browser hält sich daran. Versucht nun ein Skript auf einer so geschützten Website – zum Beispiel ein von einem Angreifer eingeschleustes JavaScript – Ressourcen von einer Website nachzuladen, die nicht erlaubt ist, dann bekommt das Skript eine Fehlermeldung. Ist praktisch, erhöht die Sicherheit etwas und ist an sich total super, wenn Pascal eben nicht einen Weg gefunden hätte, dieses Verfahren in Chrome zu nutzen, um Besucher einer Website zu deanonymisieren. Man muss aber einschränken, dass das nur gelingt, wenn man zuvor eine Gruppe von Facebook-Nutzern definiert hat und der Besucher aus eben dieser Gruppe stammt. Wer es selbst probieren möchte: Den Proof of Concept gibt es dazu auch.

Wie arbeitet das Skript nun? Vereinfacht gesagt – eine ausführliche Beschreibung gibt es natürlich auch – nutzt das Skript die Tatsache, dass Facebook die Adresse Facebook.com/me immer auf das Profil des gerade eingeloggten Nutzers weiterleitet oder auf die Login-Seite. Wenn ein Angreifer nun eine bestimmte Zahl an vorausgewählten Profilen hat, für die er sich interessiert, dann kann das Skript die CSP jeweils anpassen, so dass ein Zugriff per JavaScript – im Browser und mit der Identität des Nutzers – auf die Login-Seite von Facebook verboten, auf das gesuchte Profil aber erlaubt wird. Kommt beim Versuch auf Facebook.com/me zuzugreifen dann ein Fehler vom Browser, so ist klar, dass User und Vergleichsprofil nicht zusammen gehören, kommt kein Fehler, dann ist der Nutzer identifiziert.

Jetzt höre ich schon die Einwände: „Ja Moment mal, das funktioniert ja nur dann, wenn der Nutzer bei Facebook angemeldet ist und auch nur, wenn der zufällig in der Gruppe der User ist, die ich vorher für den Abgleich ausgewählt hatte. Das ist doch sehr theoretisch…“ Stimmt natürlich, aber zum einen gibt es recht simple Methoden, die Zahl der notwendigen Anfragen deutlich zu verringern, so reichen für den Vergleich mit 100.000 Profilen 21 Anfragen an Facebook. Pascal hat das ausführlich erklärt. Natürlich reicht das immer noch nicht, um jeden Zugriff auf eine Website mit 1 Milliarde Facebook-Profilen abzugleichen, da alleine das nötige Skript gigantisch groß würde – die ganzen Namen der Vergleichsprofile müssen ja in das JavaScript gesteckt und zum Nutzer übertragen werden. Und dann ist da noch die Einschränkung, dass diese Methode nur in Chrome funktioniert. Stimmt alles, aber es ist trotzdem durchaus interessant und relevant.

Es handelt sich bei einem Angriff dieser Art nicht um ein Tool zur Massenüberwachung, aber zum Beispiel eine gute Möglichkeit für gezielte Beobachtung von Personen. Geheimdienste haben ja schon einige Male andere Websites gekapert. Es wäre also durchaus denkbar, dass sie bei der Gelegenheit so ein Skript – und vielleicht weitere für andere Browser – in so eine Website einbauen, um zu prüfen, ob bestimmte vorher festgelegte Verdächtige diese besuchen. Und wann. Und wie lange. Und welche Seiten des Angebots sie aufrufen. Gut möglich, dass diese Methode bereits im Werkzeugkasten der NSA schlummert oder auch eingesetzt wurde.

Im Gegensatz zu Xing – bei denen der Angriff auch möglich war – sehen Google und Facebook das Problem als nicht so gravierend an und haben erstmal nichts geändert, diese Attacke zu unterbinden. Isoliert für diesen Fall kann man das durchaus so sehen, der Aufwand ist nicht gerade klein und man kann nur Nutzer enttarnen, die zu einem vorab festgelegten Pool gehören. Aber interessant ist diese Methode alleine schon wegen der vielen Ecken, um die es gedacht ist. Ein prima Beispiel dafür, wie die immer komplexeren Zusammenhänge und Wechselwirkungen zwischen Systemen es unmöglich machen, bei der Entwicklung eines neuen Stücks Software wirklich jede Lücke zu bedenken, die im Zusammenspiel mit anderen Werkzeugen oder Websites auftreten könnte. Und auf der anderen Seite finde ich die Kreativität und Phantasie, mit der manche Menschen solche Lücken dann aufspüren einfach beneidenswert. Ganz unabhängig davon, wie groß oder lein so eine Lücke ist oder wie sie der Entdecker am Ende nutzt, das ist dann wieder eine andere Frage.

Übrigens: Das wäre mal wieder ein guter Grund, sich bei Facebook und anderen Diensten auszuloggen, wenn man sie gerade nicht aktiv nutzt. Wenn es halt nicht so verdammt komfortabel wäre, einfach immer eingeloggt zu bleiben… Aber die neue CSP-Version soll diese mögliche Lücke ja verhindern, bis jetzt ist die aber in Chrome noch nicht implementiert.

Heiss diskutiert
WhatsApp stellt User bei Datenschutz vor Ultimatum
von Michael Sprick
WhatsApp stellt User bei Datenschutz vor Ultimatum
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
von Michael Sprick
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
von Felix Baumann
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
von Michael Sprick
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Google Chrome Security
Facebook
Ähnliche Artikel
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
19. Januar 2021
Diese Signal-Einstellungen sorgen für eine noch bessere Privatsphäre
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
18. Dezember 2020
Dieser Algorithmus entziffert von euch unkenntlich gemachte Daten
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
16. November 2020
Ransomware-Attacke war doch nicht für Krankenhaus-Tote verantwortlich
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
21. September 2020
Studie zur menschlichen Augmentation: Chance – oder eher gefährlicher Traum?
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
WhatsApp stellt User bei Datenschutz vor Ultimatum
von Michael Sprick
WhatsApp stellt User bei Datenschutz vor Ultimatum
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
von Michael Sprick
86% der Top-Webseiten mit Google Analytics verschleiern die IP-Adresse der User nicht
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
von Felix Baumann
Ciao WhatsApp! Von Facebook lasse ich mich nicht erpressen
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
von Michael Sprick
WhatsApp: Kann Signal den Sprung zur Nr.1 Messaging-App schaffen?
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten