China China China Heel Chappal, China Heel Chappal Manufacturers and Suppliers fead3c

China China China Heel Chappal, China Heel Chappal Manufacturers and Suppliers fead3c
Werde Sponsor und wirb für dein Unternehmen!

China China China Heel Chappal, China Heel Chappal Manufacturers and Suppliers fead3c

1. Vertrauen verspielt
WOT-Addon

China Digital Signage from Shenzhen Manufacturer: Shenzhen ElectronChina 2018 Sunny schwarz Solid Farbe Damens Canvas Schuhe PVC Lace,Children's adidas Terrex AX 2.0 R Hiking Schuhe, Größe: 11 M, Raw Grau,Chicolife Herren Damen Grafik 3D Jogger Hose Unisex Gedruckten Sport,Chicago Bulls Zach LaVine is 19th best free agent according to ESPN,Chicago Adidas Adidas neo label lite racer uk Store For A LimitedCHF87 Billig Ursprünglichen Männer Und Frauen Adidas OriginalsCHF78 Billig Ursprünglichen Männer Und Frauen Adidas Neo Se,CHF111 Rabatt Originale Adidas Nmd R1 Primeknit Stlt 'aschgrünCHENGYANG Damen Zehentrenner Keilabsatz Wedge Boho Platform,Cheers adidas nmd r1 Weiß rose release reminder,Checkerboard Classic Slip On Schuhe | Original Classic | VansCheck Out These Hot Deals on Adidas Performance Damens Pure Boost XCheck Out These Hot Deals on Adidas Damens Cf Advantage Sneaker,Check Out These Bargains on Adidas NMD R1 STLT Primeknit Turnschuhe Blau,Check Out Sustainable Thanksgiving Centerpieces From Floom (And Win,Am billigstenness Adidas NEO City Racer Herren Schwarz/Glow Lila/Tribe Lila,Am billigsten nike lunarglide 6 academy sports c1db3 bb1a2,Am billigsten Damens Adidas NMD R1 W PK "Shock Pink" Schuhe Shock Pink,Am billigstener df360 7808a product details of under armour curry 3,Am billigsten, Wholesale, China, Men's Nike Free 5.0 2015 Schuhe Royal Blau,Am billigsten Damenss adidas superstar Factory Store Verkauf,Am billigsten Wholesale China Adidas Andrew Wiggins Crazy Explosive Niedrig,Am billigsten Under Armour Speedform Apollo Twist For Verkauf | UA Speedform,Am billigsten uk nike air max 90 honeycomb Damens carbon Grau pink,nike air,Am billigsten Top 10 Sports Schuhe, find Top 10 Sports Schuhe deals on line at,Am billigsten Superstar ADV Schuhe for Verkauf, Buy Superstar Vulc ADV OnlineAm billigsten Geschäftping secrets olive green & Weiß mens adidas originals 350Am billigsten Schuhe for sale girls trainers Save 50% off at our storeAm billigsten Verkauf Basketball Schuhe Herren adidas Crazy 8 Base Grün,

In einer monatelangen Recherche konnten Reporter von Panorama und ZAPP Zugang zu einem umfangreichen Datensatz erlangen und ihn auswerten. Darin enthalten ist jede Bewegung von Millionen von Internet-Nutzern im Monat August. Mit den Daten lässt sich das Leben der User bis in den intimsten Bereich nachzeichnen. In dem Datensatz finden sich neben privaten Nutzern auch Personen des öffentlichen Lebens: Manager, Polizisten, Richter und Journalisten.

Dieser Ausschnitt stammt aus dem Beitrag Nackt im Netz: Millionen Nutzer ausgespäht, an dessen Recherche ich ebenfalls beteiligt war. Genauer: An der Analyse eines jener Browser-Addons, die den Nutzer ausspähen. Mittlerweile ist dazu auf tagesschau.de ein Beitrag erschienen »Web of Trust späht Nutzer aus« und ebenfalls auf mobilsicher.de »Die Spur der Daten«.

Der vorliegende Beitrag ist als Ergänzung gedacht. Sozusagen ein Blick hinter die Kulissen, was sich technisch bei der Nutzung des WOT-Addons im Browser abspielt. In Auftrag von mobilsicher.de, die das Thema des NDR redaktionell mit Tipps und Maßnahmen gegen die Ausspähung begleiten, habe ich das Firefox-Addon WOT gemeinsam mit der Journalistin Svea Eckert analysiert.

Hinweis: TV-Beiträge zum Thema auf Panorama 3 (NDR, 1. November, 9 Minuten), dem Medienmagazin ZAPP (ARD, 2. November, 8 Minuten), sowie auf Panorama (ARD, 3. November, 11 Min.).

2. WOT: Web of Trust Fraud

Die Beschreibung von »WOT – Sicher surfen« auf der offiziellen Addon-Seite von Mozilla klingt vielversprechend:

WOT ist ein Reputations- und Rezensionsservice für Websites, der Ihnen dabei hilft, eine fundierte Entscheidung darüber zu treffen, ob Sie einer Website vertrauen möchten, wenn Sie online suchen, shoppen oder surfen.

Mit über 900.000 aktiven Nutzern und gut 1000 Bewertungen zählt das Addon zu den »Most Popular Extensions« innerhalb des Firefox-Universums. Im Wikipedia-Artikel wird das Web of Trust sogar als »eine der größten Bewertungsplattformen für Webseiten« bezeichnet. Das Addon steht übrigens nicht nur für den Firefox-Browser zur Verfügung, sondern ebenfalls für die folgenden Browser:

  • Internet Explorer
  • Google Chrome
  • Opera
  • Apple Safari

Laut den offiziellen Angaben von WOT basieren die Webseiten-Ratings auf einer Nutzergemeinschaft von 140 Millionen Usern.

Jetzt aber genug von langweiligen Zahlen, die sich jeder mit ein paar Klicks im Internet besorgen kann. Kommen wir nun zu den interessanten Details.

2.1 Maskierte Datenmitschnitte

Das Prinzip von WOT ist simpel: Sobald ein Nutzer das Addon installiert und eine Webseite aufruft, muss in irgendeiner Form ein Abgleich stattfinden, ob die angesurfte Webseite »vertrauenswürdig« ist oder nicht. Im Gegensatz zu Google Safebrowsing löst das WOT allerdings nicht mit einer lokalen Datenbank im Browser, die gelegentlich aktualisiert wird, sondern jede aufgerufene Webseite während des Surfens wird an WOT übermittelt, dort im System abgeglichen und das Ergebnis wieder an das Addon zurückgeliefert. Anhand der Ampelfarbe weiß der Nutzer anschließend, ob er der Webseite vertrauen kann. Für dieses Prinzip müsste WOT streng genommen lediglich den Domainnamen einer Webseite übermitteln – soweit die Theorie.

Der erste Datenmitschnitt des WOT-Addons war ernüchternd:

#1 GET-Request

GET-Request - Maskiert

Daraus lässt sich ableiten:
Die »id=26d8***« ist eindeutig und wird dem Nutzer bzw. dem Browser bei der Installation einmalig zugeteilt. Das lässt theoretisch eine eindeutige Identifikation des Browsers / Users bzw. des installierten WOT-Addons zu. Dahinter sehen wir noch weitere Parameter.

  • nonce=78cb***
  • target=5Jh%***
  • lang=de
  • version=firefox-20151209
  • auth=52cd***

Mehr als die Sprache »lang=de« und die WOT-Version »version=firefox-20151209« lässt sich daraus allerdings nicht ableiten.

#2 POST-Request

POST-Request - Maskiert
Beim POST-Request werden ähnliche Informationen wie beim ersten Request übermittelt. Allerdings wird im Body des HTTP-Requests noch mehr unlesbarer »Kauderwelsch« in Form von »e=Y3owe***« übertragen.

Mit den übermittelten Informationen lässt sich wenig anfangen. Erfreulicherweise steht WOT auf GitHub quelloffen zur Einsicht – also ran ans Werk…

2.2 Unmaskierte Datenmitschnitte

Es hat etwas Mühe gekostet den Quelltext zu verstehen und die »Verschleierungen« in Form von Hashes, Verschlüsselungen und weiteren Code-Spielereien zu bereinigen. Die »problematischen« Code-Zeilen lassen sich auf einen Commit vom 20. April 2015 zurückverfolgen (Übertragung der vollständgen URL, doppelte Base64-Encodings, usw.). Ein erneuter Datenmitschnitt mit einer angepassten Variante des WOT-Addons bringt anschließend neue Erkenntnisse:

#1 GET-Request

GET-Request - Unmaskiert

Daraus lässt sich ableiten:

  • Die »id=d6089***« ist eindeutig und wird dem Nutzer bzw. dem Browser bei der Installation des WOT-Addons einmalig zugeteilt
  • Hinter dem Parameter »nonce« verbirgt sich:
    • wot_prefs.witness_id mit dem Wert »d6089***« – also nochmal die eindeutig zugewiesene ID
    • wot_prefs.update_checked mit dem Wert »14745***«
    • wot_prefs.cookie_updated mit dem Wert »14745***«
    • Die verwendete WOT-Version, also die Versionsnummer des Addons mit dem Wert »20150708«
    • wot_browser.geturl mit dem Wert »
    • wot_browser.getreferrer mit dem Wert »leer«. Wäre ich bspw. von mobilsicher über einen Link auf den Blog gekommen, wäre der Wert des Parameters bspw. »«
    • counter mit dem Wert »14745***«
    • Date.now mit dem Wert »1474548***«
  • Hinter dem Parameter »target« verbirgt sich ähnliches wie bei »nonce« mit der folgenden Ergänzung
    • hostname mit dem Wert »

#2 POST-Request

POST-Request - Unmaskiert

Neue Erkenntnisse lassen sich hier insbesondere aus dem unteren Teil (HTTP Request Body) des Parameters »e=****« entnehmen:

  • q mit dem Wert »
  • prev mit dem Wert »

Weshalb ist der Wert »prev« nun interessant? WOT speichert und übermittelt die URLs von besuchten Webseiten auch dann, wenn das Addon diese nicht aus dem HTTP-Referrer auslesen kann. Es existiert also eine Art Zwischenspeicher, der sich jede angesurfte URL Tab-übergreifend »merkt«.

Fassen wir zusammen:
Das WOT-Addon übermittelt weitaus mehr Informationen, als es für die simple Diensterbringung erforderlich wäre. Darunter auch die vollständige URL, die jemand in seinem Browser aufruft. Ein Blick in die Datenschutzerklärung von WOT verrät:

The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities („Non-Personal Information„). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable. We collect the following Non-Personal Information from you when you install or use the Product or use the WOT Platform:

  • Your Internet Protocol Address;
  • Your geographic location (e.g., France, Canada, etc.);
  • The type of device, operating system and browsers you use;
  • Date and time stamp;
  • Browsing usage, including visited web pages, clickstream data or web address accessed;
  • Browser identifier and user ID;

Das deckt sich mit den »unmaskierten« Datenmitschnitten und ist so gesehen noch kein Skandal.

2.3 Falle gestellt – Falle zugeschnappt

Bisher konnte lediglich gezeigt werden, dass WOT Informationen übermittelt, die es im Grunde nicht für die Diensterbringung benötigt. Letztendlich mussten wir also eine Falle stellen, um zu beweisen, dass WOT die von den Nutzern erfassten Surfdaten tatsächlich an Dritt-Parteien weitergibt. Aber nicht nur das, sondern das die von WOT gesammelten Daten entgegen der Datenschutzerklärung sehr wohl Informationen enthalten, mit dem sich eine Person deanonymisieren lässt:

We do not collect from you or share any individually identifiable information, namely information that identifies an individual or may with reasonable effort be used to identify an individual („Personal Information„) when you install or use the Product. However, we might collect Personal Information solely in the following events:

[…]

TO CLARIFY, IF YOU SOLELY USE THE PRODUCT WITHOUT REGISTRATION, WE WILL NOT COLLECT, STORE OR SHARE ANY PERSONAL INFORMATION FROM YOU.

Mit einer simplen Idee hatten wir schließlich Erfolg: Ich erstellte eine neue Subdomain (what.kuketz.de), die bisher weder existierte, noch jemand kannte. Im Anschluss setzte ich eine neue Linux Virtual Machine auf, startete Firefox und installierte mir als einziges Addon WOT. Nach knapp einer Woche tauchte mein Browser bzw. meine besuchten URLs dann schließlich in den Datensätzen des NDR auf – Jackpot!

Hinweis: Der Mitschnitt aus dem NDR-Datensatz erstreckt sich über mehrere Tage und wurde von mir gekürzt.

Jede URL, die ich in diesem Zeitraum besuchte, erscheint ungekürzt, inklusive Session ID, in den Datensätzen des »Datenhändlers«. Diesen Vertrauensbruch wirklich und wahrhaftig zu sehen hat mich ehrlich gesagt schockiert, auch wenn ich schon so einiges gewohnt bin. Letztendlich ist es mir gelungen, mich über die Datensätze selbst zu deanonymisieren – gruselig, einfach gruselig.

Update

 Ein Leser hat eine  Anfrage auf Selbstauskunft formuliert, die ihr an WOT in Finnland senden könnt. Eventuell bekommt ihr eine Antwort mit Auskunft über eure Daten. Die EU-DS-GSV ist zwar noch nicht in Kraft, aber Finnland hat ihr eigenes Datenschutzgesetz (Personal Data Act 523/1999), das natürlichen Personen ähnliche Rechte einräumt wie §34 BDSG. Download in unterschiedlichen Dateiformaten:

Hilf mit die Spendenziele zu erreichen!
Mitmachen

2.4 Andere Browser-Versionen betroffen?

Diese Frage kann ich im Moment leider nicht beantworten, da wir im Zuge der Recherche lediglich die Firefox-Variante von WOT einer Prüfung unterzogen haben. Sicherheitshalber würde ich empfehlen das Addon auch in anderen Browsern zu deinstallieren:

  • Internet Explorer
  • Google Chrome
  • Opera
  • Apple Safari

3. Sind auch andere Addons betroffen?

Das vermuten wir, ja. Jedenfalls gibt es weitere Hinweise und auch Addons in Chrome scheinen von den Datensammlern unterwandert. Aktuell diskutieren wir, ob und wie wir weitere Browser-Addons einer Prüfung unterziehen. Am Fall von WOT hat sich gezeigt, dass sich solch eine Aufgabe vermutlich nicht automatisiert lösen lässt, sondern immer eine manuelle Nachprüfung erforderlich sein wird.

Abraten würde ich von der Verwendung von AdBlock Plus und Ghostery, die ich beide schonmal kurz auf dem Microblog erwähnt hatte.

Mutmaßung: Persönlich glaube ich, dass wir nur die Spitze eines Eisbergs freigelegt haben und weitaus mehr Addons heimlich Surfprofile von Nutzern erstellen oder ihn anderweitig ausspionieren.

Update

 Aufgrund der hohen Anfrage per E-Mail: Wer spurenarm und werbefrei im Netz surfen möchte, der sollte einen Blick auf das » 3-Browser-Konzept« werfen. Dort wird erklärt worauf es ankommt.

4. Fazit

Die Analyse beweist: WOT protokolliert das Surfverhalten eines Nutzers nicht nur lückenlos, sondern verkauft / gibt die Daten offenbar auch noch an Drittunternehmen weiter. Es ist bezeichnend, welchen Aufwand die Entwickler betrieben haben, um die übermittelten Daten vor dem Auslesen zu schützen (Möglicherweise stecken da auch noch andere Design-Gründe dahinter, siehe nonce). Erst durch eine Anpassung des Quellcodes wurde sichtbar, welche Informationen WOT tatsächlich an die Server überträgt. Anders als in der Datenschutzerklärung behauptet, können die von WOT gesammelten Informationen allerdings sehr wohl zur Deanonymisierung von Nutzern beitragen – wie die NDR Recherche eindeutig belegt. Und darin liegt auch der Skandal: Die Sammlung personenbeziehbarer Daten, die im Anschluss dann auch noch an Drittunternehmen ausgehändigt werden.

Damit wäre hoffentlich ein weiteres Märchen widerlegt: Selbst wenn ein Unternehmen in seiner Datenschutzerklärung behauptet, sie würden keine personenbezogenen Daten sammeln oder diese vor der Speicherung »anonymisieren«, so sieht die Realität oftmals wohl ganz anders aus. Letztendlich müssen wir uns immer und immer wieder von neuem die Frage stellen: Wem oder was vertrauen wir eigentlich? Dem Web of Trust bzw. WOT-Addon vermutlich nicht mehr.

WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht August 30th, 2018 Mike Kuketz

Über den Autor

Mein Name ist Mike Kuketz und ich schreibe diesen Blog, um sicherheits– und datenschutzrelevante Themen leichter verständlich und für jedermann zugänglich zu machen.

In meiner freiberuflichen Tätigkeit als Pentester (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche Schwachstellen in IT-Systemen, Webanwendungen und Apps. Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe. Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Süddeutsche Zeitung, etc.) vertreten.

Mehr Erfahren

Folge mir via

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:

Newsletter


Nach oben