Nicht witzig: Tracking per Audio-Fingerprinting

Forscher der Princeton University haben einer neuen Trackingtechnik auf die Finger geschaut und festgestellt, daß 80% der TOP Webseiten im Netz Ihre User über ein neues Trackingverfahren namens Audio-Fingerprinting verfolgen. Mehr oder minder sind es natürlich die Werbenetzwerke die den User damit tracken.

Benutzt wird dazu die Audio-Context API moderner Browser. Wie man vermuten würde, müßte hier Ton im Spiel sein, aber dazu müßte der Browser die Einwilligung des Benutzers einholen und das würde auffallen, also trackt man den User anhand der Geräte spezifischen Daten wie Signale verarbeitet werden.

Meint, er sind ein Signal per API erzeugt, an die Audiohardware geschickt und dann geschaut was zurück kommt. Das wird auch beim Canvas-Fingerprinting benutzt.

Alle diese Methoden setzen aber Javascript voraus und sind damit mit NoScript leicht zu deaktivieren. NoScript bleibt damit das nützlichste Privacytool überhaupt.

Auf der Webseite der Hackernews findet sich auch eine Übersicht, wer trackt und wie. Treibende Kraft dahinter scheint Google zu sein.

Wer das mal live sehen will, klickt hier. Immer dran denken, ohne Javascript funktioniert es nicht.

 

Browser: Neue Angriffe aufs Clipboard

Offensichtlich gibt es ein neues, wenn auch eher geringes, Angriffsziel in Webseite: Clipboardcodeinjections.

Moderne Browser haben ja eine API fürs Clipboard, also die Zwischenablage, wenn man STRG+C drückt. Statt das, was man markiert hat, landet bei dem Angriff etwas völlig anderes in der Zwischenablage. Wenn man dies dann in die Konsole/Terminal/Shell kopiert, kann böswilliger Code eingeschleust werden.

Die Angriffsfläche ist relative klein, weil nicht allzuviele Webseitenbesucher werden Code von einer Webseite 1:1 in die Konsole packen, die meisten wissen nicht mal, was ein Terminal ist. Aber grade darin liegt die Perfidität des Angriffs, weil bei so wenig Zielgruppe, macht ein großflächig angelegter Angriff keinen Sinn. Und deswegen werden die meisten an diese Lücke nicht mehr denken 🙁

Wer mehr wissen will, folgt dem Link unten.

Quelle: Golem.de