Browser: Eingebaute Passwort-Manager machen Tracking im Internet möglich

3. Januar 2018 Kategorie: Internet, geschrieben von:

Wenn man oft im Netz unterwegs ist und diverse dort angebotene Services nutzt, wird man über die Zeit eine Menge Login-Daten gesammelt haben. All diese Daten im Kopf zu haben, ist bei der hohen Passwort-Komplexität ein ziemlich schwieriges Unterfangen, es sei denn man nutzt überall dasselbe Passwort, was man auf keinen Fall tun sollte. Niemals. Bei der Bewältigung dieser Gedächtnis-Aufgabe unterstützen uns deshalb Passwort-Manager wie KeePass, LastPass, 1PasswordEnpass und Co.

Auch Browser selbst verfügen über eingebaute Passwort-Manager, die nach einer Studie des Princeton University Center for Information Technology Policy jedoch eine Sicherheitslücke beherbergen, die es Werbe-Firmen möglich macht, euch im Netz zu tracken. Eine wichtige Information vorweg: Es werden keine Login-Daten gestohlen. Man macht sich lediglich die Information zunutze, was auch schlimm genug ist. Doch wie funktioniert das Ganze?

Um den Passwort-Manager auszutricksen, platziert das werbende Unternehmen ein Skript wie AdThink oder OnAudience auf der Website, welches vortäuscht, ein Login-Formular zu sein.

Sieht der Passwort-Manager des Browsers eben jenes Formular, wird dieser unter Umständen automatisch Benutzername und Passwort eintragen. Chrome trägt das Passwort aus Sicherheitsgründen erst dann ein, wenn ihr mit dem Formular manuell interagiert. Der Nutzername oder die Mail-Adresse ist aber alles, was das Skript von euch haben will. Steht diese Information im Formular wird daraus und eurer Browser-ID ein eineindeutiger Hash erzeugt, der gespeichert wird.

Seid ihr daraufhin auf einer anderen Webseite unterwegs, die denselben Werbe-Anbieter nutzt, kann das werbende Unternehmen diesen Hash tracken und darüber nicht nur den Nutzernamen loggen, sondern auch eure besuchten Seiten, Browser-Plugins, MIME-Typen, Display-Abmessungen, Sprache, Zeitzone, User Agent, Betriebssystem- und CPU-Informationen, die sogenannte Same Origin Policy macht es möglich.

Die komplette Liste der Webseiten, die Skripte nutzen, die solche Informationen tracken, könnt ihr HIER einsehen. Weiterhin könnt ihr die Funktionsweise eines solchen Skripts HIER testen.

Das verheerende an dieser Sache ist, dass die eigentlichen Website-Betreiber gar nicht mitbekommen, was die Ad-Anbieter mit ihren Nutzern veranstalten. Was könnt ihr also tun, um euch zu schützen? Nutzt vielleicht nicht die eingebauten Passwort-Manager des Browsers und stellt sicher, das ein externer kein Autofill automatisch nutzt. Caschy hat vor kurzem erst einen Weg beschrieben, wie ihr  verhindert, dass Passwörter in Chrome gespeichert werden und wie ihr diese löscht.

1Password hat sich zu dem Thema bereits in einem ausführlichen Blog-Post geäußert und dort auch erwähnt, warum man eben aus diesem Grund gegen ein automatisches Füllen der Login-Skripte ist.


Über den Autor:

Hauptberuflich im SAP-Geschäft tätig und treibt gerne Menschen an. Behauptet von sich den Spagat zwischen Familie, Arbeit und dem Interesse für Gadgets und Co. zu meistern. Hat ein Faible für Technik im Allgemeinen. Auch zu finden bei Twitter, Google+, Instagram, XING und Linkedin, oder via Mail. PayPal-Kaffeespende an den Autor

Oliver hat bereits 185 Artikel geschrieben.