Abo
  • Services:
Anzeige
Die längeren Renderzeiten besuchter Links können zur Identifizierung des Surfverhaltens eines Anwenders genutzt werden.
Die längeren Renderzeiten besuchter Links können zur Identifizierung des Surfverhaltens eines Anwenders genutzt werden. (Bild: Paul Stone/Screenshot: Golem.de)

Security: Renderzeiten verraten Surfverhalten

Erneut haben Sicherheitsforscher entdeckt, dass von Anwendern besuchte Links ausgelesen werden können. Dabei kommt das Javascript-API requestAnimationFrame zum Einsatz.

Anzeige

Es gibt wieder einen Grund, den privaten Modus in sämtlichen Browsern zu nutzen, um sein Surfverhalten zu kaschieren. Dem Studenten Aäron Thijs ist es gelungen, eine Schwachstelle in den Browsern Chrome, IE und Firefox zu nutzen, um besuchte Links eines Anwenders zu sammeln. Er verwendete dafür das Javascript-API requestAnimationFrame. Seine Arbeit basiert auf Forschungen des Sicherheitsexperten Paul Stone, der seinen Angriff bereits 2013 auf der Sicherheitskonferenz Black Hat präsentierte.

Das API requestAnimationFrame dient dazu, Animationen glatter anzuzeigen. Webseiten können es beispielsweise nutzen, um den Aufbau einer Seite gleichmäßig im Browser darzustellen. Über eine speziell präparierte Webseite können damit die zeitlichen Diskrepanzen zwischen dem ersten Aufbau der Webseite und dem darauf folgenden Redraw messen, um inzwischen besuchte Links zu identifizieren.

Gerenderte Links aufspüren

Sowohl der Internet Explorer 11 als auch Firefox führen asynchrone Datenbankabfragen durch, um zu ermitteln, ob eine Webseite besucht wurde oder nicht. Erst wenn die Abfrage durch ist, wird der besuchte Link in einer anderen Farbe neu gerendert. Genau dieses Verhalten nutzen Stone und Thijs für ihre Angriffe aus. Selbst auf schnellen Rechnern sei dieser Zeitunterschied zu messen, wenn die Webseite mit genügend Effekten versehen wird, so dass sich der Seitenaufbau verlangsamt, schreibt Stone.

Mit einem genügend kalibrierten Algorithmus und weiteren Elementen auf der präparierten Webseite lasse sich der Angriff auch im Chrome-Browser ausführen, der anders als der Internet Explorer 11 oder Firefox synchrone Datenbankabfragen durchführt.

Problem wird analysiert

Die Entwickler bei Mozilla wollen einen Fix für die Lücke bereitstellen. Allerdings dürfte das eine Weile dauern. Stone und Thijs haben Microsoft und Google ebenfalls über die Schwachstelle informiert, sagten sie der Webseite Ars Technica. Die Chrome-Entwickler diskutierten bereits ein Workaround, während Microsoft noch nicht reagiert habe, sagten die beiden Forscher. Bis dahin müssen Anwender entweder regelmäßig ihre Verlaufsdaten löschen oder den privaten Modus der Browser nutzen. Beide hätten die Browser Safari und Opera noch nicht auf die Schwachstelle untersucht.

Bereits 2010 gab es eine ähnliche Lücke in Browsern, über die jedoch der gesamte Browserverlauf aus dem DOM ausgelesen werden konnte. Youporn hatte die Sachwachstelle ausgenutzt, um zu ermitteln, auf welchen anderen Streamingseiten seine Besucher Videos ansehen.


eye home zur Startseite
M.P. 11. Jun 2014

Hmm, oder eher um den Unterschied zwischen zweitem und drittem Mal... Die Ladezeit der...

Jonnie 10. Jun 2014

Ich hoffe mal deine Ironie zielt darauf ab dass der "Angriff" schwachsinn ist da keine...

Jonnie 10. Jun 2014

der "Angriff" ist eh mehr Schwachsinn als nützlich... IMHO ist JEDER "Angriff...

Sammie 07. Jun 2014

Na das ist widerum Unsinn. Da kannste auch sagen, du kannst mit einer Kerze ne Glühbirne...

HerrMannelig 07. Jun 2014

setzt voraus, dass man den link auf der seite anklickt. die methode, die früher klappte...



Anzeige

Stellenmarkt
  1. flexis AG, Stuttgart
  2. Wolfgang Westarp GmbH, Beckum
  3. Fresenius Netcare GmbH, Bad Homburg
  4. DRÄXLMAIER Group, Vilsbiburg bei Landshut


Anzeige
Top-Angebote
  1. (u. a. 10€ Rabatt auf Game of Thrones, reduzierte Box-Sets und 2 Serien-Staffeln auf Blu-ray für...
  2. 189,00€ (Bestpreis!)
  3. 19,99€ (nur für Prime-Mitglieder)

Folgen Sie uns
       


  1. Playstation VR

    Sonys VR-System verkauft sich über 900.000 Mal

  2. Xperia XA1 und XA1 Ultra

    Sony präsentiert zwei Android-Smartphones ab 300 Euro

  3. Sony Xperia XZ Premium

    Smartphone mit 4K-Display nimmt 960 Bilder/s auf

  4. Lenovo Miix 320

    Günstiges Windows-Detachable mit LTE-Modem

  5. Alcatel A5 LED im Hands on

    Wenn die Smartphone-Rückseite wild blinkt

  6. Yoga 520 und 720

    USB-C und Kaby Lake für Lenovos Falt-Notebooks

  7. Lenovo-Tab-4-Serie

    Lenovos neue Android-Tablets kosten ab 180 Euro

  8. Senkrechtstarter

    Solardrohne fliegt wie ein Harrier

  9. Genovation

    Elektrische Corvette bricht Rekord

  10. Entschärfung

    China kommt Deutschland bei Elektroauto-Quote entgegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

  1. Re: Auflösungswahn

    Desertdelphin | 09:57

  2. Re: Warum?

    LennStar | 09:57

  3. Re: Und das gefühlte 3475682354-te Gerät dieser Art

    as (Golem.de) | 09:57

  4. Re: Ich lade jeden ein...

    Garius | 09:56

  5. Re: Déja vue

    Desertdelphin | 09:56


  1. 09:30

  2. 08:45

  3. 08:45

  4. 08:10

  5. 08:00

  6. 08:00

  7. 08:00

  8. 07:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel