Die Passwort Manager der Browser ermöglichen Tracking!

Die Browser internen Passwort Manager werden ausgenutzt um Benutzer zu identifizieren und zu tracken. Der Vorfall zeigt wieder einmal eindrucksvoll, wie kreativ die sogenannten „Targeting“ Methoden der Werbeindustrie werden.

Die Princeton University hat diese Methode bei 1.100 Websites gefunden. Insgesamt wurden 50.000 untersucht. Wir haben uns die Masche mal genauer angeguckt und verraten euch, wie ihr euch davor schützen könnt.

Passwort Manager != Sicherheits- geschweige denn Trackingschutz!

An so einigen Punkten haben wir bereits über Passwort Manager geschrieben. In der Vergangenheit haben wir uns z.B. mit der Frage auseinandergesetzt, ob Passwort Manager die eierlegenden Wollmilchsäue sind oder bloß einen Workaround darstellen.

Jetzt kam heraus, dass die internen Passwort Manager der Browser auch zum tracken von Benutzern verwendet werden können. Beim Tracking geht es grundsätzlich um Verfolgung. Der Identifizierung eurer digitalen Datenspur. Wir hinterlassen ständig und überall Spuren. Das ist im wahren, aber eben auch im digitalen Leben so. Die Werbeindustrie hat ein großes Interesse daran diese Spuren zusammenzuführen. Den Nutzen den man davon hat? Man kann Werbung zugeschnittener, und damit erfolgreicher, ausliefern.

Der Schritt über den Passwort Manager zu gehen ist zugegeben sogar recht kreativ. Denn die schlechteste Möglichkeit jemanden eindeutig zu identifizieren ist ein Merkmal auszuwählen, welches jeder Browser besitzt. Und das ist beim Passwort Manager der Fall. Jeder größere Browser hat mittlerweile einen integriert.

Beim Autofill liegt der Hase im Pfeffer

Die Identifizierung findet dabei aber nicht über den Passwort Manager selber statt, sondern über die vorher getätigten Eingaben. Diese müssen über die Autofill-Funktion des Browsers ausgelöst worden sein. Ihr müsst euch also einloggen – und dafür den Manager benutzen.

Ihr seid eingeloggt und bewegt euch auf der Website. Nun erwartet euch ein weiteres Login Formular. Dieses könnt ihr aber nicht sehen, da es unsichtbar ist. Euer Passwort Manager ist jedoch geneigt die Eingaben dort auszufüllen. Und genau mit diesen Eingaben werdet ihr getrackt – denn schließlich sind es immer die gleichen. Ihr könnt das auf der dafür eingerichteten Website testen: Demopage

Das Tracking durch AutoFaill kann auch Senglehardt.com getestet werden. (Quellen: senglehardt.com)

Bekannt ist zum jetzigen Zeitpunkt nur, dass dieses Verfahren zum Tracking eingesetzt wird und nicht um eure E-Mails und Passwörter zu stehlen. Das Skript, welches die Daten übermittelt, hasht die E-Mail Adresse nämlich. So entsteht eine nicht-löschbare Tracking-ID. Der Traum jeder Werbeagentur.

Was ihr gegen das Tracking bei einem Passwort Manager tun könnt!

Die Schutzmaßnahme ist so simpel wie offensichtlich: Schaltet die internen Passwort Manager ab. In der Vergangenheit, genauer gesagt im Januar 2017, gab es schon einmal einen Angriff auf die AutoFill-Funktion. So deaktiviert ihr die Funktion (tl;dr;)

Firefox (Anleitung)

  • Menü
    • Einstellungen
      • Datenschutz & Sicherheit
        • Zugangsdaten und Passwörter für Websites speichern

Chrome (Anleitung)

  • Menü
    • Einstellungen
      • Erweiterte Einstellungen
        • Passwörter & Formulare
          • AutoFill-Einstellungen
            • Ausschalten

Safari (Anleitung)

  • Safari
    • Einstellungen
      • Passwörter

Weitere Informationen und Quellen

[1] Tracking-Skripte klauen E-Mails aus Webbrowsern (heise/security)

Der Beitrag Die Passwort Manager der Browser ermöglichen Tracking! erschien zuerst auf XignSys Blog.