HTTPS kan gi supercookie

Sporbar også ved inkognito-surfing.

Surfevanene til Apple-brukere kan spores gjennom supercookies som ikke lar seg slette, advarer en britisk sikkerhetsforsker. Samme teknikk fungerer også i Chrome, Firefox og Opera, men de nettleserne kan i det minste slette dataene.
Surfevanene til Apple-brukere kan spores gjennom supercookies som ikke lar seg slette, advarer en britisk sikkerhetsforsker. Samme teknikk fungerer også i Chrome, Firefox og Opera, men de nettleserne kan i det minste slette dataene. Bilde: MJ
6. jan. 2015 - 11:22

Såkalte supercookies er en samlebetegnelse på en rekke omstridte teknikker for å spore nettbrukere på tvers av nettsteder.

I motsetning til vanlige cookies, informasjonskapsler i nettleseren, som helt legitimt blir brukt for å gjenkjenne for eksempel innloggede brukere, er en supercookie langt vanskeligere og i noen tilfeller umulig å blokkere eller slette.

En britisk sikkerhetsforsker har påvist at HTTPS-historikken din kan bli misbrukt til å bygge personprofiler og spore deg, skriver The Register.

De fleste moderne nettlesere støtter HTTP Strict Transport Security (HSTS) som er en sikkerhetsmekanisme som gjør at nettsteder kan insistere på at du alltid bruker kryptert forbindelse.

Nettstedene som har implementert HSTS sørger da for at alle fremtidige besøk til et bestemt nettsted via vanlig HTTP i stedet rutes over til HTTPS, slik for eksempel Google eller nettbanken din gjør.

Dette er også helt påkrevet for å tilby en sikker nettjeneste, er vurderingen til personvernstiftelsen Electronic Frontier Foundation (EFF). Det gir et vern mot falske nettsteder og såkalte «man in the middle»-angrep.

Den samme mekanismen kan bli brukt til å spore deg, advarer Sam Greenhalgh, som fredag publiserte sitt funn, inkludert en demonstrasjon av hvordan dette kan arte seg.

Omgår inkognito-modus

Utnyttelse av dette krever et bevisst satt opp (ondsinnet utformet) nettsted, som ved hjelp av HSTS kan lagre en unik kode i nettleseren din.

Spesifikasjonen tilsier at slike data kan leses av også fra alle andre nettsteder. Det er dette som åpner for å sette en slags supercookie. Fra tidligere er det kjent at surfevanene dine kan bli brukt som en relativt unik identifikator.

Greenhalgh påpeker at noen nettlesere, som Google Chrome, Firefox og Opera fjerner HSTS-verdiene når brukerne sletter informasjonskapslene i nettleseren. Vel og bra.

Men, som han skriver, de eksisterende HSTS-verdiene kan spores også hvis man benytter nettleserne i såkalt «privat» eller inkognito-modus, som er mer illevarslende og neppe særlig kjent.

Da er det langt verre med Apple Safari, som er standardnettleseren på Mac, iPad og iPhone.

Ikke bare synes det umulig å slette HSTS-dataene i Safari, men verdiene blir også synkronisert gjennom skytjenesten iCloud. Dermed kan de overleve også ved gjenoppretting av en enhet.

– Resultatet er at Apple-enheten din kan «brennmerkes» med sporing du ikke har mulighet for å fjerne, mener han.

Unntatt IE

Ifølge forskeren er Microsoft Internet Explorer unntaket. IE har nemlig ikke implementert støtte for HSTS, og er følgelig ikke sårbar for denne sporingsteknikken. Microsoft har imidlertid antydet at en kommende versjon (IE12) også vil innføre dette.

Greenhalgh vedgår at han ikke er den første til oppdage muligheten dette gir for brukersporing, og viser til Mikhail Davidov som allerede i april 2012 tok opp problemstillingen.

Sikkerhetsforskeren nevner i en oppdatering søndag at Googles sikkerhetsteam har debattert problemstillingen tidligere, noe som har ledet til flere sikkerhetspatcher og endringer i kildekoden til Chromium-prosjektet.

Konklusjonen deres, som kan leses ut fra Chromium security FAQ, er at det trolig ikke finnes noen praktisk metode for unngå sporingsteknikken, med mindre man foretar «fundamentale endringer i hvordan web fungerer».

Det hindrer likevel ikke Apple å endre sin praksis, slik at også deres brukere får mulighet til å kunne slette HSTS-data i nettleseren.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.