Onlangs bleek ik zelf slachtoffer te zijn geworden van kwaadwillende e-krakers. De onverlaten hadden een wachtwoord van mijn LinkedIn-profiel gejat en dreigden mijn webleven bekend te maken aan mijn contacten. Gelukkig was het een oud wachtwoord, maar mijn Windowscomputer zal vol met ongerief. Hopelijk is dat nu na een schoonmaak met Norton verdwenen. Als dat niet zo is sta ik bij Norton op de stoep. Onderzoekers in de VS ontdekten dat onverlaten op verschillende manieren je surfgeschiedenis kunnen achterhalen. Gij zijt gewaarschuwd.
De (vier) manieren zouden in de categorie van de geschiedenissnuiftechnieken liggen, die in de jaren nul werden gebruikt, maar onderzoekers lieten in augustus op een USENIX-bijeenkomst in Baltimore zien dat je binnen een paar seconden de ‘vingerafdruk’ van het webgedrag van een gebruiker kon achterhalen. Dat werkt bij alle bekende webprogramma’s. Alle aanvallen lukten bij Chrome. Twee werkten bij Edge en Firefox en verschillende webprogramma’s die onderzoekers gebruiken. Het enige programma dat weigerde mee te werken was de Torbrowser. Die houdt geen geschiedenis bij
“We hopen dat de ernst van deze zaken de makers van webprogramma’s er toe aanzet om dat deel van hun programma te bekijken. Ik ben blij dat er mensen zijn bij Google en Mozilla en ook bij W3C die zich hier al mee bezighouden”, zegt informaticus Deian Stefan van de universiteit van Californië in San Diego.
‘Hengelen’
De meeste websurfers zijn bekend met het fenomeen ‘hengelen’, waarbij webcriminelen je via nepstekken gegevens afhandig proberen te maken. Daarbij kan de aanvaller ‘ruiken’ of het slachtoffer eerder bepaalde banklocaties heeft bezocht (bijvoorbeeld van banken). Hoe sneller de gebruikte techniek hoe meer locaties de aanvaller kan achterhalen. De snelste komen wel tot zo’n duizend weblocaties per seconde. Aan de hand daarvan is simpel het webgedrag van het slachtoffer af te lezen. Heeft iemand veel scabreuze webstekken bezocht, dan valt het slachtoffer misschien af te persen.
Die techniek kan ook door minder scrupuleuze bedrijven worden gebruikt voor marketingdoeleinden. Uit een onderzoek uit 2010 van de UC San Diego bleek dat bedrijven daar ook ruim misbruik van hebben gemaakt. “Marketingbedrijfjes boden dat soort technieken aan als analysemiddelen”, zegt Stefans collega Michael Smith. “We geloven niet dat dat nu nog gebeurt, maar er zou spiewaar gemaakt kunnen worden die misbruik maakt van de lekken die we hebben ontdekt.”
De aanvallen die de onderzoekers ontwikkelden zorgden ervoor dat webprogramma’s anders reageren als ze een bepaalde webstek hadden bezocht. Het spionageprogramma zag de verschillen, bijvoorbeeld de verwerkingstijd of de manier waarop een grafisch element wordt behandeld, en bouwde zo de websurfgeschiedenis van het slachtoffer op. Voor hun aanvallen maakten ze gebruik van de mogelijkheden die de webprogramma’s bieden om ze te personaliseren.
Oplossing (?)
De vier door de onderzoekers in elkaar gedraaide aanvallen maakten misbruik van relatief nieuwe mogelijkheden van de webprogramma’s. Zo mikten ze bij Chrome op een in 2017 geïntroduceerde CSS Paint-API. Via die extensie (?) kon de aanval plaatsvinden zonder dat de gebruiker argwaan kreeg. Daarmee kon een aanvaller zo’n 6000 webadressen per seconde controleren.
Google schijnt het lek voor die aanval gedicht te hebben, maar dan blijven er nog steeds drie over. Ook de andere webprogramma’s zijn kwetsbaar. De onderzoekers denken als een webprogramma nieuwe mogelijkheden biedt, die lekken weer zullen opduiken. Volgens hen zouden de problemen kunnen worden opgelost.
Een belangrijke bron voor de locatiesnuiver is de kleurverandering die koppelingen ondergaan nadat de gebruiker die locaties bezocht heeft. Die hoeft niet van kleur te veranderen. Gebruikers zouden dan bepaalde locaties tot uitzonderingen kunnen maken, maar van mij hoeft het helemaal niet. Stefan c.s. werken nu aan een prototype van hun oplossing. Je zou natuurlijk ook regelmatig je geschiedenis kunnen wissen. Ik zeg maar iets. Lijkt me bijna zo effectief. Hoe vaak gebruik je je geschiedenis?
Bron: Science Daily