Scheme Flooding: Ein neues Mittel der Tracking-Industrie

Mo, 28. Juni 2021, Niklas

Mit einer neuen Fingerprinting Technologie, über die FingerprintJS, ein grosser Anbieter eines Fingerprinting-Services, im Mai auf seinem Blog berichtet hat, können Nutzer auch über verschiedene Browser hinweg wiedererkannt werden. Dazu werden die installierten Programme auf dem Computer ausgelesen.

Besonders heikel ist, dass dafür alle grossen Desktop Browser anfällig sind, anfangs auch der besonders privatsphäreschützende Tor Browser. Mit Version 10.0.18 hat man erst vor wenigen Tagen einen Schutz gegen diesen Angriff auf die Privatsphäre eingebaut. Man kann sich mit einer kleinen Änderung an den Einstellungen aber auch selbst schützen.

Wenn man ein Programm installiert, kann dieses ein eigenes URL-Scheme registrieren, sodass zum Beispiel skype:// Links immer im Skype Client geöffnet werden. Scheme Flooding nutzt diese Vorgehensweise aus und versucht, verschiedene Links von vielen verschiedenen Programmen zu öffnen. Die Verhaltensweisen der Browser unterscheiden sich, je nachdem, ob das Programm gefunden wird oder nicht.

Auf der Demoseite des Exploits wird das mit 24 verschiedenen proprietären Programmen veranschaulicht, die man ohnehin besser nicht nutzen sollte, doch diese Technik kann mit allen Programmen angewendet werden, die eigene URL Schemes mitbringen, auch mit datenschutzfreundlichen Open-Source-Programmen. Wenn die Demoseite kein Programm findet, ist man also nicht automatisch vor dieser Technik sicher! Es kann auch eine viel grössere Liste an Programmen abgefragt werden, um eine noch genauere Identifikation zu ermöglichen.

In unterschiedlichen Browsern kann der Exploit unterschiedlich implementiert werden. Besonders schlimm trifft es den Tor Browser, denn bei diesem kann die Prüfung sogar im Hintergrund mittels iFrame stattfinden, während bei allen anderen Browsern ein für den Nutzer sichtbares Pop-up erscheint. Dafür kann der Tor Browser im Leerlauf nur ein Programm alle 10 Sekunden testen, was allerdings beschleunigt werden kann, wenn man Interaktionen durch den Nutzer provoziert (Beispielsweise durch ein Captcha, wo auf jedes Tastendruck-Event reagiert werden kann).

Um diesen Angriff auf die Privatsphäre zu verhindern, können im Firefox, Tor Browser und allen anderen Firefox-basierten Browsern in about:config die Einstellungen, die mit network.protocol-handler.external beginnen, auf false gesetzt werden. Dann öffnet der Browser keine anderen Programme mehr direkt aus Webseiten heraus und auf der Demoseite des Exploits erscheinen alle Programme als nicht installiert.

Quellen:

Marius
Geschrieben von Marius am 29. Juni 2021

Der einzig wirksame Schutz dagegen heisst: NoScript!

Ulf
Geschrieben von Ulf am 28. Juni 2021

Mein Default Firefox (Tumbleweed) bringt ein interessantes Ergebnis ;-) "This is your identifier. It was seen 7133 times among 67419 tests so far. That means it is 89.42% unique. We have generated your identifier based on 0 applications you have installed. Out of 24 applications in our database." Also nichts gefunden - was aber "nur" bei PW=10,58% der Fall ist. Wie man dann aber auf 100% -PW als eindeutig kommt erschließt sich mir nicht ganz.

Erster
Geschrieben von Erster am 28. Juni 2021

Also im aktuellen FF die Settings alle auf false gesetzt, den Browser beendet und wieder geöffnet ... Testseite aufgerufen ... werden immer noch alle Applikationen angezeigt. :(

Sahel
Geschrieben von Sahel am 28. Juni 2021

Hi, kann jemand sagen, ob das in Vivaldi der Einstellung "Desktop PWA Protocol handling" entspricht? (siehe vivaldi://flags ). Ich habe das nun mal auf "Disabled" gestellt.