Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers waarschuwen voor tracking via favicons in cache browsers

Onderzoekers van de Universiteit van Chicago waarschuwen voor een methode om gebruikers op het internet te volgen met behulp van favicons. Dat zijn icoontjes die domeinen meegeven om ze makkelijk identificeerbaar maken in de interface.

De onderzoekers claimen dat een malafide domein een specifieke combinatie van favicons opslaat op de machine van een gebruiker en ze zo volgt. De favicons worden in meerdere populaire browsers opgeslagen in een cache die niet geleegd wordt of buitenspel gezet wordt in private browsing. Daardoor kan een domein een specifieke gebruiker volgen, zelfs als zij cookies blokkeren, privé browsen en andere fingerprinting-technieken dwarsbomen. Browsers melden de aanwezigheid van een relevante favicon in de cache aan de website die ze bezoeken, om zo bandbreedte te besparen.

Een malafide website zet een bepaalde combinatie van favicons op het systeem van een doelwit, waaraan ze dan te herkennen zijn bij een herhaald bezoek. Hoe groter de hoeveelheid bezoekers een website heeft, hoe meer verschillende favicons en redirects langs subdomeinen met favicons er nodig zijn. Zelfs met een website die bijna 4,3 miljard unieke browsers moet volgen, zijn 32 redirects echter genoeg. Dat kan volgens een rekenvoorbeeld van de onderzoekers in twee seconden gedaan zijn.

De onderzoekers hebben de makers van de getroffen browsers op de hoogte gesteld. Dat zijn Chrome, Safari en Edge. Google zegt al aan een fix te werken, Apple zegt naar de bevindingen van het onderzoek te kijken en Microsoft was niet op tijd bereikbaar, aldus Ars Technica. De Brave Browser was ook vatbaar, maar de makers van die browser hebben de kwetsbaarheid opgelost. Firefox hoort eigenlijk ook in het rijtje getroffen browsers, maar door een bug werkt de exploit bij die browser niet. Als workaround zouden gebruikers favicons kunnen uitschakelen, hoewel men er wel zeker van moet zijn dat ze ook daadwerkelijk niet opgeslagen worden en niet alleen niet getoond worden in de interface.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Mark Hendrikman

Nieuwsposter

20-02-2021 • 12:57

104 Linkedin

Reacties (104)

Wijzig sortering
Ja je kunt dit namelijk server-side afvangen en dan een speciale combinatie van opvolgende redirects terugsturen. Staat beschreven op SO: https://stackoverflow.com...sit-to-a-website/16933618

Overigens is dit al uit 2013.
In Google Chrome kon je een aantal versies geleden nog de zichtbaarheid uitschakelen van favicons d.m.v. een flag. Helaas hebben ze die mogelijkheid ongedaan gemaakt. Gelukkig kun je "chrome.dll" patchen en behoren favicons weer tot het verleden, waar ze horen.
Thanks, direct aangepast!
Dank voor de uitleg. Ik heb het vanmiddag uitgezet, maar nu weer aan gedaan. Ik vind die icoontjes toch wel handig (bijv als ik een tabblad pin, dan zie je niets behalve het icoontje, als je meerdere doet kan je ze niet meer onderscheiden). Wat enorm irritant dat ze die kunnen gebruiken om je te tracken. Zal er nog maar even over nadenken.
Dus ze kunnen achterhalen wat je op dat moment in cache hebt. Maar als je dan tussendoor een andere site bezoekt met een tot dan toe nog niet gedownload favicon? Dan veranderd toch ook je favicon reeks?
Er zijn per website maar 32 favicons nodig op verschillende subdomeinen die iemand wel of niet in cache heeft.

[Reactie gewijzigd door RoelRoel op 21 februari 2021 09:24]

Als de filename, bytesize enzo identiek zijn als wat de browser al in de cache heeft zitten, gaat het niet de favicon opnieuw downloaden en trekt het deze weer uit de cache.
Maar die dingen zijn toch allemaal 16x16 pixels en heten allemaal favicon.ico als het goed is.
Dan wordt het - zonder manipulatie - best een uitdaging om de juiste favicon.ico te vinden in de cache lijkt me.
Als die volledige URL toch al in je cache zit, waarom dan ingewikkeld gaan zitten doen met een favicon voor tracking...
Inderdaad gek dat dat nog steeds gebeurt. Als je in je HTML geen icon opgeeft moet de browser niet zelf gaan vissen vind ik.
Je browser moet überhaupt niet zelf gaan vissen, eigenlijk. Soortgelijke zaken zoals content-type sniffing zijn in het verleden ook allemaal stop gezet omdat ze in meer of mindere mate problematisch bleken te zijn. Maar het favicon gebeuren heeft dat - tot op heden in elk geval - overleefd.
Dus de fix is gewoon dat een browser in private mode gewoon altijd 1x voor alle domeinen de favicon ook ophaald?
Ik volg de vraag niet helemaal, maar de fix moet liggen bij de browsermakers. Zij moeten zorgen dat private mode altijd start met een lege favicon cache, en ze moeten zorgen dat de gebruiker de mogelijkheid heeft om in de browser eenvoudig de favicon cache te clearen, bijv. automatisch indien de normale cache op verzoek van de gebruiker ook gecleared wordt. Zolang dat niet het geval is, moet je zelf als de favicon cache clearen door bepaalde files te verwijderen, of je moet favicon helemaal uitschakelen indien mogelijk.
Dat zeg ik toch precies?
Vind de ingebouwde Brave shield anders echt heel handig sinds ik nu paar maande Brave gebruik. Maar goed ik kom van Chrome af en niet FF

[Reactie gewijzigd door NLatuny op 21 februari 2021 00:42]

Dat is het gevolg van de volgorde waarin het gebouwd wordt.

Zou men in 1e instantie van privacy/niet tracking uitgaan dan zou men alles van het boze internet wantrouwen.
Alleen in de praktijk vertrouwde men in 1e instantie alles van het internet en is men dat nu aan het terugdraaien, waardoor je dus alles moet nalopen en controleren en je dus dingen kan missen.
Dit is een gevolg van developers die niet duidelijk willen zijn welke gegevens ze als een risico zien en welke niet. Het is anders bijna onmogelijk om te achterhalen waarom ze hier niets aan gedaan hebben of het kennelijk zelfs acceptabel vonden.
Al denk ik dat veel ontwikkelaars daar eigenlijk geen behoefte aan hebben omdat het ze tijd kost en ze er zelf nauwelijks last van hebben.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True