Per JavaScript andere Browser-Tabs ausspionieren

JavaScript im Browser ist ein Risiko – speziell bei Verwendung des Anonymisierungsnetzwerks Tor. Forscher haben jetzt einen Seitenkanalangriff demonstriert, bei dem man per JavaScript den Inhalt andere Browser-Tabs auslesen kann.

Die Seitenkanal-Angriffstechnik der Forscher demonstriert, dass sich die kürzlich eingeführten Datenschutzvorkehrungen in Browsern umgehen lassen und das sogar  Benutzer eines Tor-Browsers einer Verfolgung unterzogen werden können. Oder in Kurzform: Mit JavaScript ist es möglich, in einer Registerkarte des Webbrowsers auf anderen offenen Registerkarten zuzugreifen und herauszufinden, welche Websites der Benutzer gerade besucht.

Diese Informationen können verwendet werden, um Benutzern zielgerichtet Anzeigen zuzustellen oder Dinge herauszufinden, die der Benutzer gerade in anderen Browser-Tabs tut. So ließen sich beim Online-Banking Informationen herausfinden, die Dritte nichts angehen. Oder es werden andere sensitive Daten aus Browserfenstern ausgelesen.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Dazu haben die Forscher Anatoly Shusterman, Lachlan Kang, Yarden Haskal, Yosef Meltser, Prateek Mittal, Yossi Oren, Yuval Yarom – von der Ben-Gurion University of the Negev in Israel, der University of Adelaide in Australien und der Princeton University in den USA – einen prozessorgesteuerten Cache-basierten Website Fingerprinting-Angriff entwickelt. Dieser verwendet JavaScript zum Sammeln von Daten zur Identifizierung besuchter Websites. Die Technik wird in einem auf ArXiv veröffentlichten Artikel „Robust Website Fingerprinting Through the Cache Occupancy Channel“ beschrieben.

Der demonstrierte Angriff gefährdet faktisch die Privatsphäre. Die Forscher konnten herausfinden, auf welche Websites ein Benutzer zugreift. Ein Angreifer kann Dinge wie die sexuelle Orientierung, religiöse Überzeugungen, politische Meinungen, gesundheitliche Bedingungen usw. eines Opfers herausfinden, so die Forscher. Der Angriff ermöglicht zwar keine Remote Code-Ausführung (RCE). Aber das Abziehen von Informationen (z.B. im Speicher gehaltene Verschlüsselungs-Keys) ist auch kein Pappenstiel.

Es hat schon einen Grund, warum ich für Online-Banking beispielsweise prinzipiell einen separaten Browser nehme und nach Möglichkeit andere Browserfenster vorher schließe. The Register hat vor einigen Tagen in diesem Beitrag einige Details aus dem obigen Dokument veröffentlicht.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Per JavaScript andere Browser-Tabs ausspionieren

  1. Info sagt:

    Genau!

    Im IE11 gab es dazu schon immer unter „Datei/Neue Sitzung“ die Möglichkeit, wie es eben heißt, den IE frisch mit eigenem Verlauf/Cache/geschützter Speicherumgebung(wenn aktiviert) zu starten.

    Beim Banking, auch auf dem eigenen Rechner, sollte man gleich in den „IN-PRIVATE“ Modus des alten Browsers wechseln – dann werden mögliche ActiveX Browsererweiterungen deaktiviert und Daten der WWW-Seite nicht auf der HD zwischengespeichert.

    • Martin sagt:

      Ich nutze für Internetbanking nur den IE11 – im In-Private Modus, mit abgeschaltetem Smart-Screen-Filter und in einer separaten Sandbox. Eine entsprechend eingerichtete Verknüpfung in der Taskleiste, zum Direkteinstieg in den In-Private Modus und die Sandbox, die sich nach dem Schließen des IE auch automatisch leert, macht den Aufruf auch sehr komfortabel. :-)

  2. Ekkehard sagt:

    Internetbanking betreibe ich nicht im Browser, sondern nur mit einem dafür vorgesehenen Programm (Hibiscus+jameica, oder VR-Networld oder …) und mit SmartTAN (Kartenleser mit Flickercode) als zweiten Kanal zur Autorisierung von Überweisungen. Da läuft diese Art von Angriff ins Leere, da kein Browser beteiligt ist.

    • Martin sagt:

      Ich setze auch auf einen TAN-Generator, allerdings nicht mehr auf den Kobil von der Bank, sondern inzwischen auf einen Rainer, der deutlich besser arbeitet und die Flickercodes wesentlich schneller erkennt. Ich hatte da mit dem Kobil vorher viel experimentieren müssen (Geschwindigleit des Codes und Einstellungen im Kobil) und trotzdem war der bei mir immer unzuverlässig und als er dann nach 6 Jahren schließlich kaputt war und mir die Reparatur misslang (Displaykabel brach dabei), stieg ich um.

  3. dimmbar sagt:

    Und genau deswegen (s.o.) wird Js auch im TorBrowser deaktiviert. Geht auch im neuen 8.x (Quantum-Basis), obwohl vor jeder Sitzung NoScript zurückgesetzt werden muss, da wegen Bequemlichkeit für den Nutzer Javascript fest auf aktiv eingestellt ist.
    TB kann auch ohne Tor-Netz/Proxy genutzt werden. Halbwegs sicheres BrowserProdukt, vermutlich z.Z. das beste:
    https://www.heise.de/forum/heise-Security/News-Kommentare/Tor-Browser-bekommt-neue-Alpha-und-Sicherheitsupdates-spendiert/Tor-Browser-auch-empfehlenswert-als-Browser-ohne-Tor-Netzwerk/posting-29846318/show/

  4. mike sagt:

    Verstehe ich das richtig, das funktioniert nur bei Browser-Tabs und nicht bei mehreren offenen Fenstern eines Browsers?

    • Gast251118 sagt:

      In dem Register-Artikel fasst es wohl der letzte Satz am besten zusammen: ‚“If you want to visit sensitive and non-sensitive websites at the same time, use two different computers,“ they said.‘

      Aus dem Paper fand ich diese Sätze erhellend:

      „Our attack consists of collecting traces of cache occupancy while the browser downloads and renders web sites.“

      „cache-based fingerprinting needs to be tailored to the precise hardware configuration of the victim machine, specifically the set count and associativity of its lastlevel cache“

      Unter „3 The Website Fingerprinting Attack Model“ ist erklärt, wie man es sich einfangen könnte.

      • hugsla sagt:

        zweiten Comp könnte man via VM realisieren.
        sensiblere Anwendungen, wie zB. banking werden auch hier aber nach wie vor via c’t-bankix absolviert. Dies so sinnvolle Projekt wird auf community-Basis weitergeführt:
        https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/Sicheres-Online-Banking-mit-Bankix/Weiterentwicklung-ctbankix-auf-Basis-von-Lubuntu-18-04-x-32-Bit/posting-32726039/show/

        man muss sich etwas einlesen, aber lohnt. Es wird damit ein spezielles linux-basiertes BS auf usb-stick erzeugt, ohne Zugriff auf iwelche lokalen FPs. Basis ist ein Lubuntu 16.04.1 bzw. seit 7-2018 18.04.x

        • Windoof-User sagt:

          Wenn richtig aufgesetzt und gewartet, ist Linux brauchbar. Das Problem ist nur, dass infizierte Computer-Systeme, die weltweit für Schlagzeilen sorgen, in der Regel Linux-Systeme sind. Ein Linux-System zu infiltrieren und zu missbrauchen ist im Allgemeinen einfacher, da die Konfiguration und Wartung ein hohes Maß an Wissen erfordert und kleinste Konfigurationsfehler die Sicherheit kompromitieren. Kurz, Linux ist etwas für Experten.

          • eiswurst sagt:

            Unsinn. Vollumfänglich!
            es geht, nachlesbar, um ein linux-live, dass für einen speziellen Zweck speziell configuriert ist: banking.
            Vergleichbarers gibts ansonsten nicht. Ein besser gehärtetes System – für diesen Zweck – ebenfalls nicht. lesen hilft.

          • Ralph D. Kärner sagt:

            Bullshit. Du willst diese Behauptung durch Beweise untermauern.
            Abgesehen davon lässt uns M$ nur GLAUBEN, dass wir alles OHNE Fachwissen machen können. Und genau deshalb sind die meisten Windows-Systeme sehr viel leichter angreifbar, weil der dumme User meint, dieses oder jenes Tool werde die Auffälligkeiten schon richten. Ich habe hier jeden Tag einige Rechner auf dem Tisch, die mit Viren daher kommen. Aber keiner von diesen Rechnern hat Linux auf der Platte.

          • Windoof-User sagt:

            Verglichen mit der Armee von kompromittierten Servern und IOTs, die allesamt unter Linux laufen und das Internet rund um die Uhr zum Schlachtfeld machen, sind die paar Windows-Rechner auf dem Tisch wohl eher unbedeutend und machen deshalb, wenn es um Datendiebstahl geht, auch wenig Schlagzeilen in den Medien.

          • Wolfgang sagt:

            @Ralph D. Kärner,
            er kennt nur Windoof!
            Seine Aussagen bezgl. Linux sind unbewiesenes bzw. veraltetes allgemeines Gewäsch, wie man es in Windows-Foren ständig lesen kann. Linux ist auch nicht nur für Experten. Voraussetzung zu seiner Administration ist aber, „sinnerfassend lesen“ gelernt zu haben…

          • Windoof-User sagt:

            Schon beachtlich wie gut sich die Linux-Sektarier in den Windows-Foren auskennen (was machen die da eigentlich?) und Linux-Schwachstellen, die teilweise erst nach 20+ Jahren behoben werden (shellshock?), ausblenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert