Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers waarschuwen voor tracking via favicons in cache browsers

Onderzoekers van de Universiteit van Chicago waarschuwen voor een methode om gebruikers op het internet te volgen met behulp van favicons. Dat zijn icoontjes die domeinen meegeven om ze makkelijk identificeerbaar maken in de interface.

De onderzoekers claimen dat een malafide domein een specifieke combinatie van favicons opslaat op de machine van een gebruiker en ze zo volgt. De favicons worden in meerdere populaire browsers opgeslagen in een cache die niet geleegd wordt of buitenspel gezet wordt in private browsing. Daardoor kan een domein een specifieke gebruiker volgen, zelfs als zij cookies blokkeren, privé browsen en andere fingerprinting-technieken dwarsbomen. Browsers melden de aanwezigheid van een relevante favicon in de cache aan de website die ze bezoeken, om zo bandbreedte te besparen.

Een malafide website zet een bepaalde combinatie van favicons op het systeem van een doelwit, waaraan ze dan te herkennen zijn bij een herhaald bezoek. Hoe groter de hoeveelheid bezoekers een website heeft, hoe meer verschillende favicons en redirects langs subdomeinen met favicons er nodig zijn. Zelfs met een website die bijna 4,3 miljard unieke browsers moet volgen, zijn 32 redirects echter genoeg. Dat kan volgens een rekenvoorbeeld van de onderzoekers in twee seconden gedaan zijn.

De onderzoekers hebben de makers van de getroffen browsers op de hoogte gesteld. Dat zijn Chrome, Safari en Edge. Google zegt al aan een fix te werken, Apple zegt naar de bevindingen van het onderzoek te kijken en Microsoft was niet op tijd bereikbaar, aldus Ars Technica. De Brave Browser was ook vatbaar, maar de makers van die browser hebben de kwetsbaarheid opgelost. Firefox hoort eigenlijk ook in het rijtje getroffen browsers, maar door een bug werkt de exploit bij die browser niet. Als workaround zouden gebruikers favicons kunnen uitschakelen, hoewel men er wel zeker van moet zijn dat ze ook daadwerkelijk niet opgeslagen worden en niet alleen niet getoond worden in de interface.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

20-02-2021 • 12:57

104 Linkedin

Reacties (104)

Wijzig sortering
Altijd al vermoed, eerlijk gezegd. Daarom schakel ik uit voorzorg het cache'en van favicons ook standaard uit. Geen idee hoe je dit onder andere browsers doet, maar onder Firefox doe je het zo:

Ga in "about:config" op zoek naar de sleutel "browser.chrome.site_icons". Zet de waarde op "False". Sluit daarna Firefox af. Verwijder daarna in de profielmap van Firefox vervolgens de bestanden "storage.sqlite" en "favicons.sqlite", mochten er al favicons zichtbaar zijn in je bladwijzers. Bij het opnieuw opstarten van de browser maakt Firefox de beide containers "storage.sqlite" en "favicons.sqlite" opnieuw aan, die dan helemaal schoon zijn.

Easy does it.. ;)
De tweet is niet meer beschikbaar, dus ik link even de bron: https://bugzilla.mozilla.org/show_bug.cgi?id=1618257

De reactie van de onderzoeker hierop:
To provide additional details and context about our disclosure process: Our bug report was submitted to Firefox in February 2020 while we were still trying to understand how different browsers fetch/process/store favicons. Once we had devised the technique detailed in the paper and run experiments to see which browsers were susceptible, we informed all vulnerable browsers (June 2020). Our disclosure process took place before we submitted our paper and many months before publicizing our findings (February 2021), to allow browsers ample time to address this issue and prevent any users from actually being tracked in practice. Not notifying Firefox at that time was our oversight because we were focused on notifying the vulnerable browsers. In hindsight, we agree that we should have proactively notified Firefox. We hope that the continued conversations we had with other vendors to get the bug fixed shows that we had the best interests of web users at heart, and that neglecting to circle back with Mozilla once we found the security bug was an oversight rather than due to malice on our part.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True