image

Webtrackers volgen internetters via wachtwoordmanager

dinsdag 2 januari 2018, 11:18 door Redactie, 26 reacties

Alle moderne browsers beschikken over een ingebouwde wachtwoordmanager waarmee gebruikers hun wachtwoorden kunnen opslaan, maar de functionaliteit wordt door webtrackers misbruikt om internetgebruikers op het web te volgen, zo waarschuwen onderzoekers.

Als gebruikers op een website voor de eerste keer inloggen vraagt de wachtwoordmanager of de inloggegevens moeten worden opgeslagen. De volgende keer dat de gebruiker de website bezoekt zal de wachtwoordmanager de inloggegevens automatisch in het inlogveld invullen. Onderzoekers hebben op meer dan duizend websites webtrackers ontdekt die van deze functionaliteit misbruik maken. De webtracker injecteert op de website een onzichtbaar inlogveld. Als de wachtwoordmanager voor deze website inloggegevens heeft opgeslagen worden die automatisch in het onzichtbare inlogveld ingevuld. Het script van de webtracker leest het e-mailadres uit en stuurt hiervan een hash naar de server van de derde partij die voor het script verantwoordelijk is.

E-mailadressen zijn uniek en worden vaak over een langere periode gebruikt. Het volgen van gebruikers via hun e-mailadres biedt dan ook allerlei voordelen. Zo kan de gebruiker over meerdere apparaten worden gevolgd en heeft het verwijderen van cookies of het gebruik van private browsing geen effect op het volgen. Het probleem is al jaren bekend en wordt veroorzaakt door de manier waarop browsers met het huidige beveiligingsmodel van het web omgaan.

Dit model, de same origin policy, zorgt ervoor dat een browser scripts op een eerste webpagina toegang geeft tot data in een tweede webpagina, maar alleen als beide webpagina's dezelfde herkomst hebben. Als een uitgever het trackingscript van een derde partij op de website embed, in plaats van het isoleren hiervan in een iframe, wordt het script gezien alsof het van de website van de uitgever afkomstig is. Het is tegenwoordig standaard om third-party scripts direct te embedden in plaats van een iframe te gebruiken. Daardoor verliezen gebruikers de bescherming van de same origin policy.

"Dit model is slecht geschikt voor de praktijk. Uitgever hebben geen volledig vertrouwen of wantrouwen in derde partijen en dus passen de twee opties (iframe sandboxing en direct embedden) niet. De één beperkt de functionaliteit en de ander is een privacynachtmerrie", aldus de onderzoekers. Ze merken op dat derde partijen vaak vaag zijn over het gedrag van hun scripts en de meeste uitgevers niet de tijd of technische kennis hebben om ze te beoordelen.

Van de 1 miljoen populairste websites werden scripts die de wachtwoordmanager misbruiken op 1110 websites aangetroffen. De onderzoekers stellen dat uitgevers, gebruikers en browserontwikkelaars stappen kunnen nemen om het automatisch invullen van wachtwoorden op onzichtbare inlogvelden tegen te gaan. Zo kunnen websites aparte subdomeinen voor het inloggen gebruiken, waardoor het automatisch invullen niet werkt op andere pagina's. Gebruikers kunnen zich beschermen door adblockers of extensies tegen webtrackers te installeren.

Image

Reacties (26)
02-01-2018, 11:45 door Anoniem
Alle browsers zouden het opslaan van wachtwoorden moeten verbieden. Zelf sla ik nooit wachtwoorden op maar de naïeve computergebruiker zou beschermd moeten worden.
02-01-2018, 12:11 door Anoniem
Ik gebruik zelf enpass. Op de site in de source staat een demonstratie pagina. E.e.a schijnt niet te werken, kan ik daarmee concluderen dat Enpass niet gevoelig is voor deze vorm van sniffen?
02-01-2018, 12:19 door Anoniem
Ik sla ook noot geen wachtwoorden op maar schrijf ze op en bewaar ze in een map, daar in tegen kan ik wel begrijpen dat het verdomde makkelijk is als dit automatisch gebeurd.
Maar crasht de computer en moet hij opnieuw geïnstalleerd worden ben je wel alle wachtwoorden kwijt.
02-01-2018, 12:26 door Briolet
Het opslaan hoef je niet te verbieden, maar het automatisch invullen wel.

In Safari krijg je bij een opgeslagen wachtwoord 3 keuzes:

- nooit meer invullen
- eenmalig invullen
- automatisch invullen

Alleen bij de derde optie krijg je die vraag nooit meer. De tweede optie is de default keuze.

Wat me ook opvalt is dat het bij steeds meer sites voorkomt dat ik wel 3 keer toestemming moet geven om een wachtwoord uit de wachtwoordmanager te halen. Dat zou door deze trackers kunnen komen.
De site beheerder waar ik dit fenomeen als eerste tegenkwam dacht dat het kwam door de toegevoegde optie van een facebook login op hun login pagina.

Deze site doet wat dat betreft ook raar. Als ik op de hoofdpagina kom, wordt ook al om mijn masterwachtwoord gevraagd, zonder dat ik een inlogveld zie. Blijkbaar is die toch verborgen aanwezig. Als ik vervolgens rechtsboven op “inloggen” klik, verschijnt er een nieuw window waar mijn gegevens inmiddels ingevult zijn.

Ik hang echter vast in de browser totdat is het master wachtwoord ingevuld heb. Ik kan deze site dus niet eens meer bekijken, zonder niet eerst dat masterwachtwoord in te tikken, ook al heb ik niet eens behoefte om in te loggen.
02-01-2018, 12:56 door Anoniem
In firefox moet ik toch echt eerst op het veld de focus hebben en vervolgens in een dropdown selecteren.
02-01-2018, 13:10 door Anoniem
Door Briolet:
Wat me ook opvalt is dat het bij steeds meer sites voorkomt dat ik wel 3 keer toestemming moet geven om een wachtwoord uit de wachtwoordmanager te halen.

Bij welke site's is dat?
Heb je wat voorbeelden.
02-01-2018, 13:12 door Anoniem
Indien je Gmail gebruikt kun je voor elke account je e-mailadres (bijv jenaam@gmail.com) uniek maken door een + teken te gebruiken: http://www.tech-recipes.com/rx/980/use-gmail-plus-addressing-to-generate-throw-away-e-mail-addresses/
02-01-2018, 13:20 door Anoniem
FF/PaleMoon users: 'about:config' > 'signon.autofillForms' > 'FALSE' en opgelost!
02-01-2018, 13:33 door Anoniem
Door Anoniem: Ik gebruik zelf enpass. Op de site in de source staat een demonstratie pagina. E.e.a schijnt niet te werken, kan ik daarmee concluderen dat Enpass niet gevoelig is voor deze vorm van sniffen?

Als het goed is zijn third-party password managers niet vatbaar voor deze aanval, maar ik zou zeggen probeer het zelf even uit op deze pagina: https://senglehardt.com/demo/no_boundaries/loginmanager/
02-01-2018, 14:36 door Briolet - Bijgewerkt: 02-01-2018, 14:47
Door Anoniem:…Bij welke site's is dat?
Heb je wat voorbeelden.

Waar ik het als eerste tegenkwam was bij "ziggoforum.nl". Daar log ik vaak in en sinds hun nieuwe interface moest ik elke keer 3x het hoofdwachtwoord invullen.
Ik gebruik de keychain van de mac, maar zet alle inlog wachtwoorden altijd in een separate sleutelhanger, waardoor ik niet alleen de toestemming moet bevestigen op die site, maar na elke bevestiging ook steeds weer dat sleutelhanger-wachtwoord moet intikken.

Na een paar week was ik het zat en heb gecapituleerd door toestemming te geven voor het automatisch invullen. Zo'n belangrijk wachtwoord was dat ook weer niet.

(Edit: Ik heb net de toestemming voor "ziggoforum.nl" ongedaan gemaakt en weer een inlog gedaan. Nu komt die wachtwoord vraag maar 1x. Blijkbaar heeft mijn geklaag indertijd toch geholpen om dit te veranderen, maar heb ik nu geen concreet voorbeeld meer.)

Andere voorbeelden heb ik niet paraat. Vorige maand overkwam me dit bij een nutsbedrijf waar ik bij mijn account moest, Ik weet alleen niet meer welke.

Maar nu ik bovenstaande verhaal lees, vind ik het ook al verdacht dat secirity.nl het wachtwoord al probeert op te halen, voordat je naar het inlog-venster gaat. De logica ontging me, maar op die manier is je naam ook bekend als je niet inlogt en wel een account bezit.
02-01-2018, 15:21 door Anoniem
FF/PaleMoon users: 'about:config' > 'signon.autofillForms' > 'FALSE' en opgelost!

Deze setting in Firefox werkt.

Uitleg: https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/

Testen in: https://senglehardt.com/demo/no_boundaries/loginmanager/
02-01-2018, 15:58 door Anoniem
Misschien een domme opmerking: Is het handig om voor “zakelijke” email een ander adres te nemen dan persoonlijke( wat ik al jare doe)?
02-01-2018, 17:50 door Anoniem
Als ik het goed begrijp ?

Site A : onthoud wachtwoord voor site A

Site B : vraag geheim naar wachtwoord van site A ?
Site C : vraag geheim naar wachtwoord van site A ?

Werken sites A B en C samen ?
Kan iemand mij uitleggen a.u.b..
02-01-2018, 17:51 door Anoniem
Door Anoniem: FF/PaleMoon users: 'about:config' > 'signon.autofillForms' > 'FALSE' en opgelost!

Tja, ik zit tegenwoordig vaker in de about:config dan dat ik gewoon mijn browser veilig kan gebruiken.
Dat het allemaal te tweaken is weet ik wel maar bij iedere computer en iedere nieuwe installatie kan ik weer het hele rijtje af. Ik zou graag mijn FF config offline, dus lokaal op mijn computer, op willen slaan en kunnen restoren op een andere computer.
02-01-2018, 18:30 door Anoniem
Door Anoniem:
Door Anoniem: FF/PaleMoon users: 'about:config' > 'signon.autofillForms' > 'FALSE' en opgelost!

Tja, ik zit tegenwoordig vaker in de about:config dan dat ik gewoon mijn browser veilig kan gebruiken.
Dat het allemaal te tweaken is weet ik wel maar bij iedere computer en iedere nieuwe installatie kan ik weer het hele rijtje af. Ik zou graag mijn FF config offline, dus lokaal op mijn computer, op willen slaan en kunnen restoren op een andere computer.
Gebruik Mozbackup om een backup van de instellingen in FF te maken. En voor een restore op een andere PC.
http://mozbackup.jasnapaka.com/
02-01-2018, 19:14 door Anoniem
@Anoniem van 17:51

Ik zie de Jip en Janneke norm-browser-gebruikers, dit tweaken niet zo gauw doen,.

Ze worden dan dus ook respectievelijk uit hun sokken dan wel nylons getrackt.
Het is (o.a. canvas) fingerprint tracking, persistent cookie tracking, CSRF dat geblokkeerd moet worden.

Afgesproken DoNotTrackMe wordt door de ad-industrie vrijwel nergens gehonoreerd.
Ghostery werd opgezet door de advertentie-boer, Cliqz, die hier zelf mee bezig waren.
Net als in het geval van Google laat je de slager dan de eigen worst keuren.

Het enige dat goed werkt is NoScript in de oude vorm samen met Request Policy.
Deze extensies in Firefox Quantum hebben inmiddels weer last van gezamelijke extensie onveiligheid,
en op lager niveau minder toegang tot de browser om nog goed te werken.

Als het goed moet draaien is de privacy bedreigd, want er lekt altijd wel weer iets weg.

Browsers met dezelfde web api en extensie engines, zoals Google Chrome en Firefox,
maken dat dit tracking-drama eerder erger wordt als beter.

De browser is de optimale tracking machine bij uitstek en "mijnt" voor grote Techbedrijven het moderne online data goud,
uw browser data, dat u hen gratisch verschaft. U krijgt daar hun gereedschap voor.

En u, beste browser eindgebruiker, bent maar het product,
dat dit hele proces moet optimaliseren.

Het liefst zorgt men dat het u niet opvalt, dit tracking geweld, klik, klik, klikerdeklik...

Jodocus Oyevaer
02-01-2018, 23:21 door Anoniem
Twee opmerkingen:

1. Het bewaren van wachtwoorden kan in FireFox ook "officieel" uitgezet worden (ipv via about:config). Ga naar
Tools/Options/Privacy & Security en haal de vink weg bij "Remember logins and passwords for websites". Op dezelfde pagina kan je ook de door FireFox opgeslagen wachtwoorden zien.

2. Je zou kunnen denken dat de truc ook werkt bij online password managers die inlogvelden (user id en wachtwoord) voor je invullen. LastPass is zo'n manager. Ik heb LastPass getest op https://senglehardt.com/demo/no_boundaries/loginmanager/index.html, maar LastPass vult klaarblijkelijk geen verborgen (display: none) inputvelden in. (Pak van m'n hart, want ik doe veel met LastPass).
03-01-2018, 05:55 door Anoniem
Door Anoniem: Tja, ik zit tegenwoordig vaker in de about:config dan dat ik gewoon mijn browser veilig kan gebruiken.
Dat het allemaal te tweaken is weet ik wel maar bij iedere computer en iedere nieuwe installatie kan ik weer het hele rijtje af. Ik zou graag mijn FF config offline, dus lokaal op mijn computer, op willen slaan en kunnen restoren op een andere computer.
Wijzigingen in instellingen worden opgeslagen in een bestand dat prefs.js heet. Dat staat in je profielmap. Die kan je vinden door in Firefox in het help-menu de optie "Probleemoplossingsinformatie" te kiezen. Onder "Toepassingsbasics" zie je het item "Profielmap" staan met een knopje "Map openen". Klik daarop en je bestandsbeheerder wordt geopend in de profielmap.

prefs.js is een tekstbestand dat per regel een instelling (zoals je die in about:config ziet) bevat. Je kan er backups van maken, en je kan ervoor kiezen om de instellingen die je in een nieuwe installatie mee wil nemen apart op te slaan zodat je ze in een andere prefs.js kan invoegen. Maar let wel op dat je dat alleen doet als Firefox niet draait, want anders worden je aanpassingen overschreven. Maak ook altijd een backup van de prefs.js die je gaat aanpassen voor als je er een puinhoop van maakt.
03-01-2018, 08:04 door choi
Door Anoniem: Als ik het goed begrijp ?

Site A : onthoud wachtwoord voor site A

Site B : vraag geheim naar wachtwoord van site A ?
Site C : vraag geheim naar wachtwoord van site A ?

Werken sites A B en C samen ?
Kan iemand mij uitleggen a.u.b..

Nee, de sites werken niet samen. Er wordt middels javascript een onzichtbaar invoerveld gegenereerd op een website die de genoemde trackerscripts gebruiken. Door het automatische invoermechanisme van de browser wordt de eerder opgeslagen gebruikersnaam (in dit geval een e-mailadres) ook ingevuld in het onzichtbare invoerveld. (De hash van) het e-mailadres wordt dan gebruikt om de gebruiker te volgen (een e-mailadres is uniek en veel mensen gebruiken hetzelfde e-mailadres als gebruikersnaam om in te loggen op verschillende websites).

Remedies:
-Automatisch invullen door de browser uitschakelen
-(Selectief) javascript blokkeren (bijv. met NoScript (Firefox) of Scriptsafe (Chromium))
03-01-2018, 08:22 door Anoniem
Door Anoniem: Als ik het goed begrijp ?

Site A : onthoud wachtwoord voor site A

Site B : vraag geheim naar wachtwoord van site A ?
Site C : vraag geheim naar wachtwoord van site A ?

Werken sites A B en C samen ?
Kan iemand mij uitleggen a.u.b..
Nee, het gebeurt allemaal op site A. De browser is slim genoeg om niet het account van site A op sites B en C in te vullen.

Het scenario is, dat de gebruiker op site A een account X heeft gemaakt. De volgende keer komt dezelfde gebruiker met dezelfde browser op dezelfde site A, maar besluit zich niet aan te melden, zodat zijn gedrag niet aan zijn account kan worden gekoppeld. Door deze trackers kan dit echter toch gebeuren, omdat het e-mailadres in het geheim wordt opgestuurd en dus de gebruiker als eigenaar van het account X wordt geïdentificeerd.


Ik moet eerlijk zeggen dat ik de grote nieuwswaarde niet zie. Als site A onbeperkt javascript uit mag voeren (geen NoScript etc.) kan ook gewoon een browser fingerprint worden gemaakt, die voor 99,9% van de gebruikers uniek is. Dat werkt ook als de gebruiker geen account heeft, geen wachtwoordmanager gebruikt, autofill met de wachtwoordmanager niet gebruikt, etc.
03-01-2018, 08:43 door Anoniem
Door Anoniem: Misschien een domme opmerking: Is het handig om voor “zakelijke” email een ander adres te nemen dan persoonlijke( wat ik al jare doe)?

Ja dat is verstandig en ook nog makkelijk, ik hou het ook strikt gescheiden. Stuur deze tip meteen even door naar Hillary Clinton ;-)
03-01-2018, 09:06 door choi - Bijgewerkt: 03-01-2018, 09:15
Door Anoniem: Ik sla ook noot geen wachtwoorden op maar schrijf ze op en bewaar ze in een map, daar in tegen kan ik wel begrijpen dat het verdomde makkelijk is als dit automatisch gebeurd.
Maar crasht de computer en moet hij opnieuw geïnstalleerd worden ben je wel alle wachtwoorden kwijt.

Tenzij je natuurlijk zoals elke 'slimme meid' een backup hebt gemaakt van je profiel dat dan weer eenvoudig te importeren is in een nieuwe Firefoxinstallatie.
03-01-2018, 09:20 door choi - Bijgewerkt: 03-01-2018, 09:29
Door Anoniem:
Door Anoniem: Ik gebruik zelf enpass. Op de site in de source staat een demonstratie pagina. E.e.a schijnt niet te werken, kan ik daarmee concluderen dat Enpass niet gevoelig is voor deze vorm van sniffen?

Als het goed is zijn third-party password managers niet vatbaar voor deze aanval, maar ik zou zeggen probeer het zelf even uit op deze pagina: https://senglehardt.com/demo/no_boundaries/loginmanager/

Met LastPass werkt het ook niet.
03-01-2018, 09:44 door choi
Aanvulling op 08:04

Aangezien het hier om bekende trackerdomeinen gaat zou een goede trackerblocker moeten volstaan
De EasyPrivacy blocklist bijvoorbeeld blokkeert zowel de trackers van AdThink (audienceinsights.net^$third-party) als OnAudience (behavioralengine.com^$third-party)

Besef wel dat blocklists achter de feiten aanlopen

https://easylist.to/easylist/easyprivacy.txt
03-01-2018, 11:41 door choi
Door Anoniem:
Door Anoniem: Als ik het goed begrijp ?

Site A : onthoud wachtwoord voor site A

Site B : vraag geheim naar wachtwoord van site A ?
Site C : vraag geheim naar wachtwoord van site A ?

Werken sites A B en C samen ?
Kan iemand mij uitleggen a.u.b..
Nee, het gebeurt allemaal op site A. De browser is slim genoeg om niet het account van site A op sites B en C in te vullen.

Het scenario is, dat de gebruiker op site A een account X heeft gemaakt. De volgende keer komt dezelfde gebruiker met dezelfde browser op dezelfde site A, maar besluit zich niet aan te melden, zodat zijn gedrag niet aan zijn account kan worden gekoppeld. Door deze trackers kan dit echter toch gebeuren, omdat het e-mailadres in het geheim wordt opgestuurd en dus de gebruiker als eigenaar van het account X wordt geïdentificeerd.

Dat is niet helemaal waar. Het heeft niks te maken met het volgen van de gebruiker op site A, sterker nog, op site A hoeven de trackerscripts niet eens actief te zijn. Het volgen gebeurd dus vooral op alle andere sites waarop de genoemde (of soortgelijke) trackerscripts draaien. Site A is in zoverre belangrijk dat de inloggegevens zijn opgeslagen door de browser.

De door de browser opgeslagen gebruikersnaam (i.e emailadres) van site A wordt pas onderschept als de gebruiker inlogt op een website (site B, C, D etc.) waarop de trackerscripts draaien (dus niet per se op site A). Belangrijk is dat het hier om een emailadres gaat waarmee de gebruiker zich identificeert. De combinatie gebruikersnaam+emaildomein is nl. uniek terwijl een willekeurige gebruikersnaam dat niet is.
03-01-2018, 14:11 door Briolet
Door Anoniem: [Ik moet eerlijk zeggen dat ik de grote nieuwswaarde niet zie. Als site A onbeperkt javascript uit mag voeren (geen NoScript etc.) kan ook gewoon een browser fingerprint worden gemaakt, die voor 99,9% van de gebruikers uniek is.

Bij elke browserupdate zal in elk geval de fingerprint weer verloren gaan. De inlognaam blijft veel langer uniek. En zoals genoemd is de inlognaam gelijk vanaf meerdere locaties. b.v. bij een inlog privé, werk of gsm.

Het valt me wel op dat ze het steeds over e-mail adres hebben, terwijl in mijn ervaring meestal geen e-mail adres gebruikt wordt als accountnaam.

Een eyeopener is hier wel dat websites 3th party scripts installeren waarvan ze eigenlijk niet weten wat die doen. Als een scriptschrijver kwaadwillend is, kan hij zo ook het wachtwoord zelf stelen. Het bedrijf dat het script aanlevert zal dat niet snel doen, maar ook zij kunnen gehacked zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.