image

Adblocker AdGuard publiceert lijst met duizenden CNAME-trackers

donderdag 4 maart 2021, 16:38 door Redactie, 17 reacties

Adblocker-ontwikkelaar AdGuard heeft een overzicht gepubliceerd met daarop duizenden CNAME-trackers die internetgebruikers op geraffineerde wijze op het web volgen. Onlangs maakten onderzoekers bekend dat het gebruik van CNAME-gebaseerde tracking op websites sterk is toegenomen.

Voorheen plaatsten webtrackers en advertentiebedrijven die als derde partij actief op een website zijn van een ander domein cookies bij gebruikers. Aangezien deze cookies van een ander domein dan het bezochte domein afkomstig zijn worden dit third-party cookies genoemd. Via third-party cookies is het eenvoudig om gebruikers over het web te volgen, omdat de derde partij die via allerlei sites kan plaatsen en zo kan zien welke websites een gebruiker bezoekt.

Verschillende browsers besloten daarop tracking via third-party cookies tegen te gaan door domeinen van deze partijen te blokkeren. Derde partijen die op een website actief zijn kunnen daardoor geen cookies meer bij gebruikers van deze browsers plaatsen. Verschillende trackingbedrijven vonden een oplossing in het gebruik van first-party trackers, ook wel "dns delegation", "dns aliasing" of "cname cloaking" genoemd.

De bedrijven vragen aan uitgevers en andere websites om CNAME-record aan te maken waarbij een subdomein, bijvoorbeeld tracking.example.tld, naar het domein van de adverteerder of tracker wijst. Doordat het subdomein in de context van het bezochte domein valt, example.tld, worden de cookies van het subdomein door de browser geaccepteerd, ook al gaat het eigenlijk om cookies van een derde partij. Zodoende weten trackingbedrijven third-party trackingcookies als first-party trackers te vermommen.

Onderzoekers ontdekten dertien bedrijven die zich met deze werkwijze bezighouden. Het gebruik van CNAME-gebaseerde tracking nam volgens de onderzoekers de afgelopen 22 maanden met 21 procent toe. Populaire trackers en minder populaire trackers kenden in dezelfde periode een afname van respectievelijk acht en drie procent. Op bijna tien procent van de tienduizend populairste websites op internet wordt CNAME-gebaseerde tracking toegepast.

Naast het volgen introduceert CNAME-gebaseerde tracking ook andere privacyproblemen. "Verschillende trackers plaatsen vaak first-party cookies via de document.cookie interface. We ontdekten dat vanwege de manier waarop de webarchitectuur werkt, deze werkwijze tot het lekken van cookies kan leiden", aldus de onderzoekers. Cookies die voor example.tld worden geplaatst worden hierdoor ook naar tracking.example.tld gestuurd. Daarnaast blijkt dat veel CNAME-trackers via http en niet via https gaan. Dit maakt man-in-the-middle-aanvallen mogelijk.

AdGuard heeft nu op GitHub een overzicht van duizenden CNAME-trackers gepubliceerd. Bovenaan het overzicht staat Adobe Experience Cloud (voorheen Omniture), met meer dan 2500 domeinen, gevolgd door Pardot met bijna 1600 trackers. AdGuard laat weten dat het de lijsten geregeld zal bijwerken. Tevens spreekt de adblocker-ontwikkelaar de hoop uit dat andere makers van filterlijsten het overzicht ook zullen gebruiken.

Image

Reacties (17)
04-03-2021, 18:17 door Anoniem
Zijn ze een beetje laat mee en Pi-hole doet dit al een tijdje.

Voorbeeld: connect.highcon.net (blocked go.pardot.com) Blocked (gravity, CNAME)
04-03-2021, 18:34 door spatieman
en nu wachten op adblock+ ~!
04-03-2021, 19:06 door Anoniem
Door spatieman: en nu wachten op adblock+ ~!

Dit soort lijsten zijn ook goed voor proxyfilters als Privoxy!
04-03-2021, 21:28 door Anoniem
Mooi lijstje voor in mijn pihole
04-03-2021, 23:20 door Anoniem
atconnect.npo.nl
05-03-2021, 08:33 door Anoniem
Wat is het verschil tussen al deze lijsten die daar staan. Waarom bijv. niet 1 lijst waar alles in staat.
05-03-2021, 08:59 door Anoniem
Door Anoniem: Mooi lijstje voor in mijn pihole
Heb je daar een slimme truc voor, om dat direct in de Pihole in te laden, liefst om de X uur? Of kopieer je die lijsten handmatig in de blacklist van de Pihole?
05-03-2021, 09:08 door Anoniem
Door Anoniem: Mooi lijstje voor in mijn pihole

Inderdaad! Eerste die geblocked wordt tijdens bezoeken van www.nos.nl is: atconnect.npo.nl

Dus bij de NOS doen ze hier ook aan
05-03-2021, 09:16 door Anoniem
Door Anoniem: Wat is het verschil tussen al deze lijsten die daar staan. Waarom bijv. niet 1 lijst waar alles in staat.

Je kunt die lijsten toch in een directory/folder plaatsen en samenvoegen?
05-03-2021, 09:55 door Anoniem
Door Anoniem:
Door Anoniem: Mooi lijstje voor in mijn pihole
Heb je daar een slimme truc voor, om dat direct in de Pihole in te laden, liefst om de X uur? Of kopieer je die lijsten handmatig in de blacklist van de Pihole?

Ik heb de lijsten van github gehaald via 'git clone'.
Vervolgens alle lijsten samengevoegd middels 'cat *.txt > trackers.txt.'
Daarna met sed de comments, lege regels, dakjes en pipes eraf gesloopt.
Aansluitend middels python2 -m SimpleHTTPServer 80 een webserver gestart.
https://*.*.*.*/trackers.txt toegevoegd aan de adlist.
pihole -g uitgevoerd
Webserver gestopt

Kan vast makkelijker, maar goed... Zo kon ik ook weer ff oefenen met sed.

Het zou makkelijker zijn als ze gewoon 1 lijstje maken met alles erin, zodat je die kan toevoegen aan je adlist.
05-03-2021, 10:48 door Anoniem
De Adguard adblocker extensie voor in de browser heeft ze toch ook, neem ik aan?

luntrus
05-03-2021, 10:52 door Anoniem
Ik krijg dit,

uBlock Origin has prevented the following page from loading:

http://atconnect.npo.nl/

Because of the following filter:

||atconnect.npo.nl^

Found in: EasyPrivacy

Geruststellende gedachte,

luntrus
05-03-2021, 12:43 door Anoniem
Je Tor browser waarschuwt hier ook voor met een waarchuwingsalert en het verzoek terug te gaan.
NoScript (in deze gelijkaardig werkend als uMatrix).

#sockpuppet
05-03-2021, 14:07 door Anoniem
Ik gebruik pihole EN adguard als 1 DNS. Ik gebruik vrijwel dezelfde blocklists bij pihole an adguard, maar ik gebruik pihole als de standaard dns die dan weer het dns gebruikt van adguard. Pihole gebruik ik dan om de logfiles te bekijken vanwege een beter overzicht, daar worden de meeste trackers geblokkeerd. Ik kijk dan op adguard om te kijken wat pihole gemist heeft en dat zijn er toch nog behoorlijk wat, dagelijk 100+ en soms zelfs wel eens 200+.

In elk geval heb ik veel dingen gelezen over adguard. Pihole blijkt achter te lopen qua techniek van het blokkeren van trackers. Zo heeft pihole hele lange domein lijsten nodig, terwijl adguard gewoon lijsten ondersteund die ublock origin gebruikt.
05-03-2021, 17:48 door Anoniem
En grote namen als Amazon zijn ook betrokken bij de CNAME tracking gebeuren.
Het gebeurt namelijk op de Amazon nameserver.

https://sitereport.netcraft.com/?url=http://trck.a8.net/
reageert met "a8dns is works".

luntrus
06-03-2021, 10:18 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Mooi lijstje voor in mijn pihole
Heb je daar een slimme truc voor, om dat direct in de Pihole in te laden, liefst om de X uur? Of kopieer je die lijsten handmatig in de blacklist van de Pihole?

Ik heb de lijsten van github gehaald via 'git clone'.
Vervolgens alle lijsten samengevoegd middels 'cat *.txt > trackers.txt.'
Daarna met sed de comments, lege regels, dakjes en pipes eraf gesloopt.
Aansluitend middels python2 -m SimpleHTTPServer 80 een webserver gestart.
https://*.*.*.*/trackers.txt toegevoegd aan de adlist.
pihole -g uitgevoerd
Webserver gestopt

Kan vast makkelijker, maar goed... Zo kon ik ook weer ff oefenen met sed.

Het zou makkelijker zijn als ze gewoon 1 lijstje maken met alles erin, zodat je die kan toevoegen aan je adlist.

Heb je hier een export van?
07-03-2021, 00:27 door Anoniem
Zie hier deze analyse: https://dnsviz.net/d/trck.a8.net/dnssec/
Onveilig alert -
net to a8.net: Authoritative AAAA records exist for ns-888.awsdns-47.net,
but there are no corresponding AAAA glue records.
DNSKEY legend

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.