image

Internetgebruikers door kwetsbaarheid over meerdere browsers te volgen

maandag 17 mei 2021, 10:22 door Redactie, 25 reacties

Een kwetsbaarheid in Apple Safari, Google Chrome, Mozilla Firefox en Tor Browser maakt het mogelijk om gebruikers over meerdere browsers te volgen. Ook wanneer er gebruik wordt gemaakt van een vpn of de incognito-mode. Dat claimt FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan.

Sommige internetgebruikers gebruiken vanwege privacyredenen verschillende browsers. De kwetsbaarheid maakt het mogelijk voor trackers en websites om informatie over geïnstalleerde programma's op de computer te achterhalen om de gebruiker vervolgens een unieke identifier toe te kennen, ook wanneer er van browser wordt gewisseld of er van een vpn of de incognito-mode gebruik wordt gemaakt.

Websites kunnen kijken of een lijst met 32 populaire applicaties bij bezoekers is geïnstalleerd. Een proces dat een paar seconden in beslag neemt en zowel op Linux, macOS als Windows werkt. Om te kijken of een bepaald programma is geïnstalleerd kunnen browsers de ingebouwde url-handlers gebruiken.

Wanneer gebruikers bijvoorbeeld Skype hebben geinstalleerd en skype:// in de adresbalk invoeren verschijnt er een dialoogvenster waarin de browser aan de gebruiker vraagt of hij Skype wil starten. Elke applicatie kan zijn eigen url-handler installeren waarmee andere apps de applicatie kunnen openen.

Websites kunnen kijken welke url-handlers aanwezig zijn en zo achterhalen of een applicatie is geïnstalleerd of niet. Aan de hand van de applicatiegegevens in combinatie met machine learning zou het zelfs mogelijk zijn om zaken als beroep, interesses en leeftijd aan de hand van de data te achterhalen. In het geval van een aanval kan de browser heel even een pop-up of prompt laten zien, maar die kan eenvoudig worden gemist. In het geval van Tor Browser wordt echter geen enkel dialoogvenster getoond, omdat dit in de browser staat uitgeschakeld.

"Totdat deze kwetsbaarheid is verholpen, is de enige manier om je browse-sessies niet aan je primaire computer te koppelen een geheel ander apparaat te gebruiken", stelt Konstantin Darutkin van FingerprintJS. Van de vier browsers is Chrome de enige die al voor de publicatie door FingerprintJS van de kwetsbaarheid op de hoogte was. Het probleem is op de Chromium-bugtracker besproken en zou binnenkort moeten worden verholpen, aldus Darutkin.

Update

Tegelijkertijd met de publicatie van het artikel over de kwetsbaarheid heeft Darutkin de kwetsbaarheid ook bij Apple en Mozilla gerapporteerd.

Reacties (25)
17-05-2021, 10:32 door nicolaasjan - Bijgewerkt: 17-05-2021, 10:37
Van de vier browsers is Chrome de enige die van de kwetsbaarheid op de hoogte is.
Onzin.
Mozilla ook.:
https://bugzilla.mozilla.org/show_bug.cgi?id=1711084
17-05-2021, 10:34 door Anoniem
De oplossing is niet zo heel moeilijk: schakel die handlers gewoon uit. Ik gebruik ze toch nooit.
17-05-2021, 10:39 door Anoniem
Via de website kun je een test laten uitvoeren. Na 30 seconde, en een duidelijke zichtbaar 2e window, was het tussenresultaat dat "Zoom" geïnstalleerd was. En de scan was pas op 10% van de totale scantijd.

- test uitgevoerd op Safari.

Het lijkt erop dat er programma-handlers worden aangesproken; de browser moet hierop acteren, en dat is te meten. De handler zelf wordt niet geactiveerd.

In het Tor user channel werd hier ook over gesproken, en het lijkt inderdaad op dat Tor Browser ook handler-informatie lekt.
17-05-2021, 11:02 door [Account Verwijderd]
Door Anoniem: Via de website kun je een test laten uitvoeren. Na 30 seconde, en een duidelijke zichtbaar 2e window, was het tussenresultaat dat "Zoom" geïnstalleerd was. En de scan was pas op 10% van de totale scantijd.

- test uitgevoerd op Safari.

Het lijkt erop dat er programma-handlers worden aangesproken; de browser moet hierop acteren, en dat is te meten. De handler zelf wordt niet geactiveerd.

In het Tor user channel werd hier ook over gesproken, en het lijkt inderdaad op dat Tor Browser ook handler-informatie lekt.

Bedoel je deze test site? https://coveryourtracks.eff.org/

Our tests indicate that you have strong protection against Web tracking, though your software isn’t checking for Do Not Track policies.
17-05-2021, 11:10 door nicolaasjan - Bijgewerkt: 17-05-2021, 11:11
Door Anoniem: De oplossing is niet zo heel moeilijk: schakel die handlers gewoon uit. Ik gebruik ze toch nooit.
Ja, bij mij vond ie alleen Teamviewer (Linux).

Kijk in "/usr/share/applications".
Daar vond ik een symlink naar TeamViewerAPI Scheme Handler.
Hernoemde deze naar TeamViewerAPI Scheme Handler.bak en bingo; de PoC vond niets.
Natuurlijk moet ik deze stap herhalen elke keer als Teamviewer wordt bijgewerkt...
17-05-2021, 12:02 door Anoniem
Door BertG.:
Door Anoniem: Via de website kun je een test laten uitvoeren. Na 30 seconde, en een duidelijke zichtbaar 2e window, was het tussenresultaat dat "Zoom" geïnstalleerd was. En de scan was pas op 10% van de totale scantijd.

- test uitgevoerd op Safari.

Het lijkt erop dat er programma-handlers worden aangesproken; de browser moet hierop acteren, en dat is te meten. De handler zelf wordt niet geactiveerd.

In het Tor user channel werd hier ook over gesproken, en het lijkt inderdaad op dat Tor Browser ook handler-informatie lekt.

Bedoel je deze test site? https://coveryourtracks.eff.org/

Our tests indicate that you have strong protection against Web tracking, though your software isn’t checking for Do Not Track policies.

Test site: https://schemeflood.com
17-05-2021, 13:07 door Anoniem
Bij mij werden er 0 gevonden van de 24 waar https://schemeflood.com/ op scande.
Clear URLs add-on/extensie beschermt hiertegen. Het lokaal herschrijven van scripts dus.

Maar dit soort fingerprint technieken (voor 91.51% uniek) worden alleen mogelijk bij een volledige browser-mono-cultuur,
waarin we nu zijn beland - de chromium engine overal en binnen alle browsers geeft Big Tech de overhand
en maakt korte metten met de laatste restjes privacy en eigen richting.

luntrus
17-05-2021, 13:16 door Wim ten Brink
Door Anoniem: De oplossing is niet zo heel moeilijk: schakel die handlers gewoon uit. Ik gebruik ze toch nooit.
Nee, want de afwezigheid van die URL handlers maakt je ook herkenbaar. Zeker als anderen deze wel gebruiken.
17-05-2021, 13:19 door Anoniem
Door Anoniem: In het Tor user channel werd hier ook over gesproken, en het lijkt inderdaad op dat Tor Browser ook handler-informatie lekt.

Gebruik van de AppArmor profielen voor Mozilla Firefox en die van de Tor Browser Launcher onder Debian bieden geen bescherming tegen deze wijze van url-handler tracking. De apps op de lijst van url-handler capable apps de-installeren, of de links in /usr/share/applications uitschakelen, is een werkbare -- maar risicovolle -- tijdelijke oplossing.

Onder Tails OS 4.18 wordt geen van de genoemde applicaties op de actuele url-handler lijst van fingerprintjs.com gevonden, maar dat is waarschijnlijk alleen omdat die applicaties onder Tails afwezig zijn. Tails gebruikers zijn ook potentieel kwetsbaar voor deze vorm van tracking. Het risico zit dan met name in het gebruik van social media apps.

Onderstaand de momenteel door fingerprintjs.com toegepaste lijst van url-handler apps, in alfabetische volgorde:

1 Adobe
2 Battle.net
3 Discord
4 Epic Games
5 ExpressVPN
6 Figma
7 Hotspot Shield
8 iTunes
9 Messenger
10 Microsoft Word
11 NordVPN
12 Notion
13 Postman
14 Sketch
15 Skype
16 Slack
17 Spotify
18 Steam
19 Teamviewer
20 Telegram
21 vscode
22 WhatsApp
23 Xcode
24 Zoom
17-05-2021, 13:46 door Wim ten Brink
Handig is om het een en ander na te lezen op https://github.com/fingerprintjs/external-protocol-flooding om te zien hoe men die URL handlers detecteert en dus kan gebruiken om gebruikers te herkennen.
De truck werkt doordat een lijst van populaire handlers wordt opgevraagd. Per handler geeft het dan aan of er een handler is of niet, maar niet wat voor handler. Eigenlijk alleen een bit-waarde, namelijk 1 als de handler er is en een 0 als deze er niet is. Controleer zo op 32 van de meest populaire handlers en je krijgt een 32-bit identificatiecode. Best heel eenvoudig...
En als je nu geen URL handlers hebt? Ook dan wordt je gewoon gevolgd omdat je dan 00000000 00000000 00000000 00000000 bent. En ook dat is een ID nummer...
Hoe het precies werkt leggen ze uit op https://fingerprintjs.com/blog/external-protocol-flooding/ en het is best opvallend hoe eenvoudig deze truck eigenlijk is.
Als je dan ook even https://en.wikipedia.org/wiki/List_of_URI_schemes bekijkt dan zie je welke protocollen er allemaal officieel bestaan en dus herkend kunnen worden. Deze URI schemes zijn gewoon standaard en de browser stuurt deze door naar het onderliggende systeem als het niet zelf een schema kan behandelen. Zo zal de browser als je file:// gebruikt gewoon een bestand van je harde schijf proberen te openen of te downloaden. Alleen zit dat weer in iedere browser dus dan is het een beetje zinloos. Idem voor http/s en ftp en andere algemene protocollen.
En ze geven skype: als voorbeeld maar als ze git: en svn: hadden gebruikt dan zouden ICT'ers al sneller beseffen dat ze die protocollen herkennen en actief gebruiken. Net als xmpp: en vnc: en ws: herkenbaar kunnen zijn voor techneuten. En ook ssh: en sfs: kunnen herkenbaar zijn. Sommigen zullen secondlife: ook wel herkennen als protocol. En mms: en ldap: en irc: en imap en ga zo maar door...
Ja, je kunt denken dat je geen URL handlers gebruikt, maar dat maakt voor deze herkenning niets uit. Door de juiste protocollen te kiezen kunnen ze je herkenbaar maken.
...
De live demo site op https://schemeflood.com/ kan je precies vertellen in hoeverre ze jou herkennen. Bij mij bleek Skype, Spotify, Zoom, Epic Games, Steam en iTunes gevonden te worden terwijl ik volgens mij geen Spotify heb. (En Skype zit zowat standaard bij Windows.) Zoom heb ik eenmalig gebruikt en is kennelijk blijven hangen en Epic en iTunes gebruik ik. Maar de apps die ik niet gebruik helpen mee met mij te herkennen want iemand anders gebruikt misschien dezelfde apps maar daarnaast misschien ook VSCode of Slack en verschilt zo van mij.
17-05-2021, 13:47 door Anoniem
Ik kreeg via Tor by checken een detectie van Skype, een proggie, dat ik helemaal niet geinstalleerd heb.
Waarschijnlijk gevonden bij een voorganger op de Tor-node (netjes de captcha ingevuld - I am a true human, no bot).

Javascript lokaal herschrijven is hier dus de oplossing.

Zou Giorgio Maone hier al iets op gevonden hebben via zijn op iedere Tor-browser aanwezige NoScript?

Bij slecht beveiligde web-mail is JavaScript ook altijd de boosdoener, accesskeys.js, horde.js, login.js en prototype.js,
allemaal zich bevindend in de js map van een dergelijke webmail oplossing.

#sockpuppet
17-05-2021, 14:07 door Anoniem
17-05-2021, 14:27 door Anoniem
“ Dat claimt FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan.”

Dus ze hebben betere manieren om je te fingerprinten?
17-05-2021, 15:02 door nicolaasjan
Door Wim ten Brink:
En als je nu geen URL handlers hebt? Ook dan wordt je gewoon gevolgd omdat je dan 00000000 00000000 00000000 00000000 bent. En ook dat is een ID nummer...
Alleen naarmate de tijd vordert, worden dat steeds meer mensen met de identifier 0FVVVV, dus dat lijkt mij niet zo zinvol.

De PoC werkt niet op Chromium/Linux (dus waarschijnlijk ook niet op Chrome/Android en ChromeOS(?); dat zijn heel veel gebruikers)
Daar worden alle 24 URL handlers ten onrechte ontdekt:
FVVVV0
This is your identifier. It was seen 2325 times among 34099 tests so far.
That means it is 93.18% unique.
Twee dagen geleden was dit percentage hoger.
17-05-2021, 15:57 door Anoniem
Gebruiken we toch talis... lol of een virtual machine met osje whatever

En daarbij er zijn nog meer manieren om gebruikers te volgen. lol
17-05-2021, 15:58 door Briolet
Door Anoniem:
Door BertG.: Bedoel je deze test site? https://coveryourtracks.eff.org/

Our tests indicate that you have strong protection against Web tracking, though your software isn’t checking for Do Not Track policies.

Test site: https://schemeflood.com

Ik vind de conclusie van de eff site een beetje vreemd. Ik krijg dezelfde melding als Bert. Maar daarnaast zeggen ze dat mijn fingerprint uniek is. Als die uniek is, ben je toch juist goed identificeerbaar. Of mis ik hier iets?

De schermflood site werkt voor geen meter op mijn default browser. Hij beweerd dat "Skype" geïnstalleerd is, wat niet klopt. En daarna blijft hij op ca 5% scannen staan zonder te eindigen. Skype popt waarschijnlijk op omdat dit de eerste test is voordat hij vast loopt.
Met Chrome loopt de test wel goed en pikt hij er correct XCode en iTunes uit.
17-05-2021, 16:00 door Anoniem
Door Anoniem: “ Dat claimt FingerprintJS, een bedrijf dat fingerprintoplossingen voor bedrijven en websites ontwikkelt om gebruikers te identificeren en fraude tegen te gaan.”

Dus ze hebben betere manieren om je te fingerprinten?
Heel goed punt. Zat al te denken dat dit niet bijster slim van ze is om kenbaar te maken. Hiermee zou je je eigen businessmodel om zeep helpen.

Sowieso neemt FingerprintsJS privacy niet serieus, ze delen jouw data met Google. Zonder toestemming. Heb de site dan ook maar globaal geblokkeerd (als geheugensteun).

Daarnaast zonder het toestaan van scripts werkt ook deze methode niet. En een beetje verstandig iemand anno nu blokkeert dit standaard in zijn browser. En staat dus pas toe wanneer je per se 'n website volledig wilt gebruiken.
17-05-2021, 16:02 door Anoniem
Zover ik heb kunnen nagaan is het detecteren van deze handlers onmogelijk zodra je het volgende in Firefox, Tor-browser of Waterfox doet:

Ga naar about:config
Accepteer de voorwaarden.

Zoek: browser.link.open_newwindow.restriction op en zet het getal 2 naar 0. en geef Return in.

Sluit het tabblad nu af.
Let wel op: deze wijzigingen zijn wel voor eigen risico.
17-05-2021, 17:33 door Anoniem
Door Anoniem:
Door BertG.:
Door Anoniem: Via de website kun je een test laten uitvoeren. Na 30 seconde, en een duidelijke zichtbaar 2e window, was het tussenresultaat dat "Zoom" geïnstalleerd was. En de scan was pas op 10% van de totale scantijd.

- test uitgevoerd op Safari.

Het lijkt erop dat er programma-handlers worden aangesproken; de browser moet hierop acteren, en dat is te meten. De handler zelf wordt niet geactiveerd.

In het Tor user channel werd hier ook over gesproken, en het lijkt inderdaad op dat Tor Browser ook handler-informatie lekt.

Bedoel je deze test site? https://coveryourtracks.eff.org/

Our tests indicate that you have strong protection against Web tracking, though your software isn’t checking for Do Not Track policies.

Test site: https://schemeflood.com

Dank voor de url:
This is your identifier. It was seen 3014 times among 35569 tests so far.
That means it is 91.53% unique.
We have generated your identifier based on 0 applications you have installed.
17-05-2021, 22:28 door Anoniem
In Brave browser schijnt dit ook niet te werken.

J.O.
18-05-2021, 02:09 door Anoniem
Wel die tes site op https://schemeflood.com/ is fake tot en met. Volgens de test zou ik Skype, Steam, Teamviewer, en Messenger hebben. Skype bestaat niet op dit systeem heeft er ook nooit opgestaan en alle interne bestanden van Microsoft zijn bij installatie via powershell weggehaald. Messenger kan helemaal niet en de overige twee kan ik dan ook alleen maar toeval noemen.

Dus voor controle even een geisoleerd werk station gepakt Windows Enterprise schoon chrome profiel geen blockers.
En ja hoor de test zegt Dat Spotify er op staat maar geen Microsoft Word.

Dus die claim van FingerprintJS dat je betrouwbaar kan fingerprinten met deze exploit is totale onzin zelfs zonder fingerprint obfustication.
18-05-2021, 13:27 door Anoniem
M.a.w. Fingerprint wil dat we hun site bezoeken en wat tests draaien?
18-05-2021, 19:45 door Anoniem
Door Anoniem: Wel die tes site op https://schemeflood.com/ is fake tot en met. Volgens de test zou ik Skype, Steam, Teamviewer, en Messenger hebben. Skype bestaat niet op dit systeem heeft er ook nooit opgestaan en alle interne bestanden van Microsoft zijn bij installatie via powershell weggehaald. Messenger kan helemaal niet en de overige twee kan ik dan ook alleen maar toeval noemen.

Zoek even in de registry in HKCR naar "URL:skype".
Als je idd geen skype hebt, kan je de key weggooien.
18-05-2021, 20:36 door Anoniem
Dit probleem bestond zeker al vijf jaar, maar het risico was op Bugzilla wel bekend. De url-handler profielen van verschillende typen browsers, bijvoorbeeld Chrome en Tor Browser, gebruikt op één en hetzelfde systeem, konden aan elkaar worden gecorreleerd, vandaar de term 'cross-browser tracking'. Het deed mij denken aan het fenomeen van criminele "Impersonation-as-a-Service" (IMPaaS) markplaatsen. https://www.security.nl/posting/675689/

Vergelijk dit met geautomatiseerde cross-site scripting attacks. Daarmee kunnen profielen worden gekopieerd. De vraag doemt op waarom FingerprintJS.com in dit geval zo hard aan de bel heeft getrokken. Webbrowser fingerprints zijn in de onderwereld veel geld waard geworden, omdat men daarmee accounts van fraude slachtoffers over kan nemen. Kennelijk waren de risco's te groot voor FingerprintJS eigen verdienmodel om dit risico nog langer onder de pet te houden.
22-06-2021, 09:50 door Anoniem
Tor Browser beschermt gebruikers tegen cross-browser tracking
dinsdag 22 juni 2021, 09:33 door Redactie

https://www.security.nl/posting/708697/Tor+Browser+beschermt+gebruikers+tegen+cross-browser+tracking
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.