Sniffing-aanval tegen browsers kan surfgeschiedenis achterhalen

[Captain Kirk]

Onderzoekers hebben tijdens een beveiligingsconferentie vier sniffing-aanvallen tegen browsers gedemonstreerd waarmee de surfgeschiedenis van gebruikers is te achterhalen. Al jaren geleden hebben onderzoekers aangetoond dat het mogelijk was om te achterhalen op welke linkjes gebruikers hadden geklikt. Daarop kwamen browserontwikkelaars met verschillende tegenmaatregelen.

Een onderzoeksteam van UC San Diego en Stanford University heeft nu aangetoond hoe via moderne browserfeatures de surfgeschiedenis van gebruikers opnieuw is te achterhalen. De aanvallen zijn vervolgens getest tegen de vier grote browsers, (Chrome, Firefox, Edge en IE) en verschillende browsers die op security zijn gericht (ChromeZero, Brave, FuzzyFox, DeterFox en Tor Browser).

Twee van de aanvallen werken tegen alle browsers behalve Tor Browser. De andere twee aanvallen zijn specifiek gericht tegen features die in op Chromium-gebaseerde browsers aanwezig zijn. Via één van de aanvallen was het mogelijk voor een kwaadaardige website of aanvaller om met een snelheid van 3.000 url's per seconde de surfgeschiedenis uit te lezen. Gebruikers van Tor Browser hoeven zich geen zorgen over de aanvallen te maken, omdat deze browser standaard de surfgeschiedenis niet bewaart.

De onderzoekers merken op dat het beschermen van de surfgeschiedenis essentieel voor de privacy van gebruikers is. "De vier aanvallen in dit onderzoek tonen aan dat moderne browsers systematisch falen in het beschermen van de surfgeschiedenis tegen webaanvallers", aldus de conclusie van het onderzoeksrapport. De aanvallen werken zowel tegen populaire browsers als browsers die meer op privacy en security zijn gericht, en slagen op verschillende besturingssystemen.

Volgens de onderzoekers moeten browserontwikkelaars dan ook maatregelen nemen om de surfgeschiedenis beter te beschermen. Ze stellen een oplossing voor die een kleine impact op de prestaties en de styling van bezochte links heeft. "Maar we denken dat deze kosten de privacyvoordelen waard zijn", zo stellen de onderzoekers, die hun bevindingen tijdens de USENIX Workshop on Offensive Technologies (WOOT '18) presenteerden (pdf).

 

 

bron: security.nl