Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Google ontdekt privacyprobleem in browserextensie Privacy Badger

donderdag 8 oktober 2020, 17:14 door Redactie, 9 reacties

De browserextensie Privacy Badger is ontwikkeld om gebruikers tegen trackers te beschermen, maar een kernonderdeel van de extensie maakte het juist eenvoudiger voor trackers om gebruikers online te volgen. Dat ontdekten onderzoekers van Google. De Amerikaanse burgerrechtenbeweging EFF, die de extensie ontwikkelde, heeft aanpassingen aangekondigd.

Een verschil met veel andere privacy-extensies die trackers blokkeren is dat Privacy Badger niet met blocklists werkt of interactie van gebruikers vereist. De privacyplug-in kijkt namelijk naar het gedrag van trackers op websites. Zodra Privacy Badger ziet dat hetzelfde third-party domein de gebruiker op drie verschillende websites volgt besluit het die te blokkeren.

Doordat Privacy Badger eerst moet leren welke trackers de gebruiker tegenkomt voordat het die kan blokkeren, dachten veel gebruikers dat de plug-in niet werkte. In het begin worden er namelijk geen trackers en advertenties geblokkeerd. Twee jaar geleden verscheen er een nieuwe versie die standaard allerlei trackers blokkeert, zodat gebruikers weten dat die werkt.

Onderzoekers van Google ontdekten dat het zelflerende onderdeel van Privacy Badger ook de achilleshiel van de extensie is. Een aanvaller zou namelijk de manier kunnen manipuleren waarop Privacy Badger reageert, in wat het blokkeert en toestaat. Dit zou kunnen worden gebruikt om gebruikers, via een vorm van fingerprinting, te identificeren, of informatie te achterhalen over de websites die ze bezoeken.

Wanneer een gebruiker van Privacy Badger een website zou bezoeken had een tracker een script kunnen uitvoeren dat ervoor zorgde dat de extensie een unieke combinatie van domeinen zou blokkeren. Wanneer de tracker ook op andere websites actief was kon die de fingerprint van de gebruiker uitlezen en hem zo op deze andere websites volgen. Het was ook mogelijk voor een tracker om te achterhalen of de gebruiker bepaalde websites had bezocht, ook al draaide er geen code van de tracker op deze websites.

De EFF heeft geen bewijs gevonden dat er misbruik van de feature is gemaakt, maar heeft besloten om die uit voorzorg standaard uit te schakelen. Zodoende worden bij alle gebruikers dezelfde trackers geblokkeerd. Om trackers te blokkeren maakt Privacy Badger voortaan gebruik van een lijst met bekende trackingdomeinen. Deze lijst wordt periodiek bijgewerkt. Gebruikers kunnen het zelflerende onderdeel nog wel zelf inschakelen. Volgens de EFF gaat het hier om een acceptabele afweging die gebruikers voor zichzelf kunnen maken.

Minister start met naming en shaming van hostingbedrijven
DuckDuckGo lanceert privacyvriendelijke routebeschrijvingen
Reacties (9)
Reageer met quote
08-10-2020, 17:38 door Anoniem
De selflearning tool in deze extensie is slechts uit te schakelen voor gebruik in incognito modus. Wel kun je kun je de 'learned' blocklist handmatig naar default resetten. Zelfs deze default blocklist is te verwijderen, voor de liefhebbers.
Beter nog, draai browser virtueel/sandboxed.
Verder een prettig programma, dat Privacy Badger. Voor deze keer: Google, bedankt!

..awaiting the fix..
Reageer met quote
08-10-2020, 17:48 door Anoniem
Dit lijkt wel op een fair game policy voor Google medewerkers. Tegenstanders mag je aanpakken en met eigen al dan niet tegengestelde doelstellingen om de oren slaan.
Reageer met quote
08-10-2020, 18:11 door Anoniem

Google die een privacy probleem ontdekt .... L O L
Reageer met quote
08-10-2020, 23:18 door Goeroeboeroe - Bijgewerkt: 08-10-2020, 23:19
Met de laatste update (vandaag, 8 oktober) is het zelf lerende deel standaard uitgeschakeld. Je kunt het wel handmatig inschakelen.
Reageer met quote
08-10-2020, 23:28 door Anoniem
Ga eens naar een willekeurige website en scan dan op https://webcookies.org/
Dan krijg ik 400 Bad Request No required SSL certificate was sent (waarschijnlijk misconfiguratie op de server)
Werkt die site, dan heb je aan de hand van de scanresultaten een aardig beeld hoe je getrackt wordt.

luntrus
Reageer met quote
09-10-2020, 09:28 door Anoniem
Ik heb deze even geinstalleerd en uiteraard is de zelflerende functie standaard uitgeschakeld, dus met andere woorden is de hele functionaliteit waarvoor deze extensie eerst was voor bedoeld, helemaal verdwenen. Kan je net zo goed ublock origin gebruiken.

D'r zit zelfs nog een typfout in de extensie als je over de uitroepteken gaat. Wirdt ipv wordt :')
Reageer met quote
09-10-2020, 10:49 door Anoniem
Door Anoniem:

Google die een privacy probleem ontdekt .... L O L

Idd :-)

Bedenk wel dat met privacy geen enkel datapakketje de weg meer weet te vinden. In potentie een goede grap, maar het is wel serieus bedoeld.
Reageer met quote
09-10-2020, 12:30 door Anoniem
Technisch gezien is het geen “ontdekking” van Google aangezien het finger print euvel al maanden terug bij Privacy badger was gemeld, direct toen ze met hun nieuwe versie kwamen en van de tekortkoming ook publiekelijk details hebben gedeeld.
Dat werd vervolgens ook nog eens in podcasts in de VS en volgens mij ook bij BNR besproken.
Het kan dus hoogstens gaan om een bevestiging van de optie, een demonstratie ervan of variant op het reeds gemelde euvel.
Reageer met quote
09-10-2020, 20:17 door Anoniem
Door Anoniem:

Google die een privacy probleem ontdekt .... L O L
Ach, ze maken gewoon reclame dat hun privacy wel goed zit. Je zou het kunnen zien als een marketingstunt en je moest eens weten hoeveel mensen daar nu in zullen geloven. Reclame hé...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 620
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter