0:05
Főoldal | Rénhírek

Adatokat lopnak a böngészők

Szakértők arra figyelmeztetnek, hogy célzott támadással akár még a webes űrlapokra begépelt adataink is lekérdezhetők.

IT-café | 2010. május 27.

Az Electronic Frontier Foundation (EFF) néhány nappal ezelőtt figyelmeztetett arra, hogy az internetes böngészők által szolgáltatott adatokból olyan egyedi „ujjlenyomat” állítható össze, amellyel az adott rendszer pontosan beazonosítható, és így annak használójáról profilt is lehet készíteni. Tegnap aztán újabb olyan aggasztó tényekre derült fény, melyek ismét azt bizonyítják, hogy a browserek sokkal többet árulnak el a használójukról, mint gondolnánk.

Egy lengyel származású és egy lengyel szakértő egy, a kaliforniai Oaklandban rendezett internetes biztonsági és adatvédelmi konferencián beszélt arról, hogy a Cascading Style Sheets (CSS) egyik elemére alapozva miként lehet egy adott felhasználó böngészési előzményeit felderíteni, sőt akár baráti kapcsolati hálójának részeit rekonstruálni vagy éppen a lakcímét közelítőleg meghatározni. Artur Janc és Lukasz Olejnik a dolgozatukban egy olyan, már egy évtizede ismert adatvédelmi sebezhetőség hatékony kiaknázásának lehetőségeit demonstrálták, melyet az ismételt figyelmeztetések ellenére a böngészőfejlesztők a mai napig nem vettek komolyan.

Árulkodó CSS

Az adatgyűjtés alapját a CSS-nek a már meglátogatott hivatkozások azonosítására szolgáló :visited pszeudoosztálya adja. Ennek gyakorlati használatával nap mint nap találkozhatunk: ha ellátogatunk egy weboldalra, a korábban általunk olvasott linkek más színnel jelennek meg, mint azok, amelyeken még nem jártunk. A látogatott címek listáját a böngészők tárolják, ez a lista pedig célzott módszerrel lekérdezhető. A teljes böngészési előzménylista önmagában persze nem kérhető le, de ha a támadó arra kíváncsi, hogy bizonyos weboldalakon jártunk-e, azt egy URL-lista ellenőrzésével ki tudja deríteni.

A szakértők két módszert, egy CSS- és egy JavaScript-alapút is bemutatnak arra, hogy valósítható ez meg, az utóbbi másodpercenként 30 ezer link ellenőrzését képes elvégezni. Mint kiderült: a tesztben részt vevő több mint 270 ezer felhasználó 76 százaléka esetében tudtak e módszerrel böngészési előzményeket gyűjteni, átlagosan 62 weboldalt felhasználónként. A mintagyűjtéshez egy e célra létrehozott kísérleti oldalt használtak – ez megmutatja, hogy a legnépszerűbb szájtok közül melyekre látogattunk el.

Van más is

A böngészési előzményeken túl azonban további részletek is megtudhatók a felhasználóról, ha a böngésző ideiglenes tárolójában esetlegesen elérhető adatokat is segítségül hívják. Így akár felhasználói neveket, keresőkifejezéseket vagy éppen a felhasználó lakhelyét azonosító irányítószámokat is ki lehet nyerni. Utóbbiakat – egészen pontosan az Egyesült Államokban ennek megfelelő ún. ZIP-kódokat – a felhasználók 9,2 százaléka esetében tudtak a tanulmány szerzői rekonstruálni, keresőkifejezéseket pedig 0,2 százaléknál. Ez ugyan nem tűnik jelentős aránynak, de célzott támadással ennél valószínűleg jóval nagyobb hatékonyságot lehet elérni.

„A kutatásunk azt bizonyítja, hogy az előzmények kinyerése az internetezők egy jelentős csoportja esetében a gyakorlatban is felhasználható az általuk webes űrlapokon megadott személyes adatok feltárására, ez pedig a felhasználók elleni, weboldalakról indított célzott támadások lehetőségét teremti meg” – írják.

A böngészőfejlesztők közül egyelőre egyedül a Mozilla mutatott érdeklődést a probléma iránt, a cég azt ígéri, hogy a Firefox következő, 4-es kiadásában már lesz védelem a látogatott oldalak lekérdezése ellen.

Hasonló tartalmak:

Hozzászólások:

Követem a cikkhozzászólásokat (RSS)
Még nincs hozzászólás, legyen Ön az első!