Skip to content

Google greift Safari-Benutzer an

Google (und andere Werbedienstleister) nutzen eine Schwachstelle in Safari aus, um gegen den Willen der Benutzer einen Tracking-Cookie einzuschleusen. Ein Angreifer mit dem Motto "Don't be evil" - Sachen gibt's, die gibt's gar nicht.

Angreifer nutzen Schwachstelle in Safari aus

Apple hat in Safari eine sehr praktische Defaulteinstellung für die Annahme von Cookies: Cookies von "Dritten und Werbeanbietern" werden blockiert. Jetzt ist bekannt geworden, dass viele Werbeanbieter eine Schwachstelle ausnutzen, um dieses Cookie-Verbot zu unterlaufen: Die Werbung enthielt ein unsichtbares Formular, und über JavaScript wurde eine Eingabe darin simuliert. In diesem Spezialfall (der Benutzer füllt ein Formular eines Drittanbieters aus) akzeptiert Safari auch vom Drittanbieter einen Cookie.

Generell ist erst mal eins feststellen: Da wurde eine Schwachstelle gezielt ausgenutzt - und sowas nennt man im Allgemeinen einen Angriff. Ganz egal, ob dabei Code oder "nur" ein Cookie eingeschleust wurde. Und ein Angreifer kann schon definitionsgemäß kein "Guter" sein, denn sonst würde er sein Opfer nicht angreifen, sondern einfach bitten, ihm das Setzen eines Cookies zu erlauben.

Googles neuer(?) Wahlspruch: "Be evil!"

Der prominenteste Cookie-Setzer war Google. Ausgerechnet Google, wo man doch eigentlich nicht Böse ist? Warum ignoriert man dann aber den Willen der Benutzer und zwingt ihnen gegen ihren expliziten Wunsch einen Tracking-Cookie auf? Schon Googles Ex-CEO Eric Smith hat ja klar gemacht, dass er von Privatsphäre nichts hält, und daran hat sich seitdem anscheinend nicht geändert. Oder warum sonst hat man die Schwachstelle in Safari ausgenutzt, um trotz einer gegenteiligen Einstellung der Benutzer einen Cookie zu setzen?

Oft wird so etwas ja als Fehler erklärt - z.B. die 1999 von Microsoft Office versehentlich in jedem erzeugten Dokument hinterlassene GUID. Die ebenfalls rein zufällig an einen Microsoft-Server gesendet wurde, wo sie ebenso rein zufällig in einer Datenbank gespeichert wurde. Alles Fehler, keinesfalls geplant. Zufälle gibt es, da könnte man fast an Absicht denken, oder?

Genauso könnte es auch bei Googles Tracking-Cookie sein - alles rein zufällig und überhaupt nicht beabsichtigt. Niemand hatte die Absicht, einen Cookie zu setzen. Aber Google hat eine andere Erklärung gewählt: Es war alles nur zum Besten der Benutzer. Denn Google weiß natürlich besser als sie selbst, was gut für sie ist.

"We used known Safari functionality to provide features that signed-in Google users had enabled. It's important to stress that these advertising cookies do not collect personal information."

Erst mal handelt es sich um eine Schwachstelle, keine "known Safari functionality". Oder benutzen Angreifer in Googles Chrome dann ggf. auch nur bekannte Funktionen und nutzen gar keine Schwachstellen aus? Die Argumentation sollten sich die Cyberkriminellen gut merken, im Falle eines Falles können sie sich damit vielleicht vor Gericht rausreden: "Herr Richter, das war kein Angriff auf eine Schwachstelle, wir haben nur eine bekannte Pufferüberlauf-Funktion zum Ausführen eigenen Codes verwendet, den die Besucher unserer Seiten haben wollten!"

Und ein Cookie sammelt natürlich keine persönlichen Informationen, er macht einen Benutzer nur für seine Lebensdauer eindeutig identifizierbar. Und das ist ja wohl schlimm genug. Googles eingeschleuster Cookie hat eine Lebensdauer von "nur" 24 Stunden, aber das sollte für ein Tracking allemal reichen. In den 24 Stunden dürfte jeder Benutzer auf zig Seiten vorbeikommen, die Googles Werbung einbinden und auf denen der Cookie dann erneut gesetzt wird.

Falls Sie sich wundern, warum ich nur auf Google rum hacke und nicht auch auf den anderen Anbietern, die die Schwachstelle ausnutzen: Erstens behaupten die i.A. nicht so stark wie Google, dass sie nicht Böse sind, zweitens traue ich Werbe-Anbietern grundsätzlich immer alles Schlechte zu. Eine (un)schön lange Liste der die Schwachstelle ausnutzenden Werbenetze gibt es beim Wall Street Journal.

Google gegen anonyme Nutzung

Google hat auch etwas gegen die anonyme Nutzung der Google-Suchmaschine und geht zur Zeit gegen den Proxy-Service Scroogle vor, indem Anfragen darüber blockiert werden. Aber das sei nur am Rande erwähnt.

Google ist inzwischen in einer Position, in der sie sich fast alles erlauben können. Und das ist gar nicht gut. Wir sollten uns wohl alle mal nach Alternativen umsehen und nicht nur auf einen Riesen setzen, um den immer mächtiger zu machen. Sonst landen wir irgendwann unter seinen Füßen...

Carsten Eilers

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!