image

Onderzoek: toename van CNAME-gebaseerde tracking op websites

woensdag 24 februari 2021, 15:23 door Redactie, 3 reacties

Nu browsers allerlei maatregelen treffen om tracking van internetgebruikers tegen te gaan maken trackingbedrijven steeds vaker gebruik van CNAMES om mensen op het web te volgen. Een werkwijze die niet alleen het volgen van mensen in de hand werkt, maar ook tot het lekken van cookies en aanvallen kan leiden, zo claimen onderzoekers Yana Dimova, Gunes Acar, Lukasz Olejnik, Wouter Joosen en Tom Van Goethem.

Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website zijn van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt.

Verschillende browsers besloten daarop tracking via third-party cookies tegen te gaan door domeinen van deze partijen te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven vonden een oplossing in het gebruik van first-party trackers, ook wel "dns delegation", "dns aliasing" of "cname cloaking" genoemd.

De bedrijven vragen aan uitgevers en andere websites om een subdomein voor hun domein aan te maken, bijvoorbeeld tracking.example.tld. Vervolgens wijst dit subdomein naar het domein van de adverteerder of tracker. Doordat het subdomein in de context van het bezochte domein valt, example.tld, worden de cookies van het subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen.

De onderzoekers ontdekten dertien bedrijven die zich met deze werkwijze bezighouden. Het gebruik van CNAME-gebaseerde tracking nam volgens de onderzoekers de afgelopen 22 maanden met 21 procent toe. Populaire trackers en minder populaire trackers kenden in dezelfde periode een afname van respectievelijk acht en drie procent. Op bijna tien procent van de tienduizend populairste websites op internet wordt CNAME-gebaseerde tracking toegepast.

Naast het volgen introduceert CNAME-gebaseerde tracking ook andere privacyproblemen. "Verschillende trackers plaatsen vaak first-party cookies via de document.cookie interface. We ontdekten dat vanwege de manier waarop de webarchitectuur werkt, deze werkwijze tot het lekken van cookies kan leiden", aldus de onderzoekers. Cookies die voor example.tld worden geplaatst worden hierdoor ook naar tracking.example.tld gestuurd.

Bij 95 procent van de websites die van deze trackers gebruikmaakt is er volgens de onderzoekers sprake van een cookielek. In de meeste gevallen wordt er geen gevoelige informatie gelekt, maar bij een aantal is dat wel het geval. De onderzoekers keken naar 103 websites waarop een CNAME-tracker aanwezig was en kon worden ingelogd. Dertien van deze websites lekken cookies met gevoelige informatie, zoals de naam van gebruikers, locatie, e-mailadressen en authenticatiecookie.

Daarnaast blijkt dat veel CNAME-trackers via http en niet via https gaan. Dit maakt man-in-the-middle-aanvallen mogelijk en ondermijnt de integriteit van de primair bezochte website, omdat de JavaScript van de tracker via http in de context van de primaire website wordt geladen. "Dit suggereert dat deze werkwijze zeer gevaarlijk is. Het is schadelijk voor de webveiligheid en privacy", aldus onderzoeker Olejnik. Mozilla kondigde vorig jaar aan dat Firefox first-party trackingcookies blokkeert. Daarnaast kan ook de browserextensie UBlock Origin die blokkeren.

Image

Reacties (3)
24-02-2021, 15:55 door Briolet
Naast het volgen introduceert CNAME-gebaseerde tracking ook andere privacyproblemen. …

Dertien van deze websites lekken cookies met gevoelige informatie, zoals de naam van gebruikers, locatie, e-mailadressen en authenticatiecookie.

Het lijkt me dan dat je de eigenaar van de website kunt aanklagen wegens het lekken van gevoelige informatie, want dit is dan lekken 'by design'.
24-02-2021, 20:56 door Anoniem
Door Briolet:
Naast het volgen introduceert CNAME-gebaseerde tracking ook andere privacyproblemen. …

Dertien van deze websites lekken cookies met gevoelige informatie, zoals de naam van gebruikers, locatie, e-mailadressen en authenticatiecookie.

Het lijkt me dan dat je de eigenaar van de website kunt aanklagen wegens het lekken van gevoelige informatie, want dit is dan lekken 'by design'.

Nou, te beginnen bij de snsbank dan.

https://www.security.nl/posting/691682/
26-02-2021, 12:30 door Anoniem
Third party cookies horen ook gedefinieerd te zijn als alles wat niet example.com is. Als je dat zo doet, dan heeft de cname van xxx.example.com helemaal geen nut. Dus gewoon dom gedefinieerd.

Maar ja als ze dit hebben aangepast, wordt toch alles server side gedaan. Dan heb je er totaal geen zicht en controle meer op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.