Trackingtechnik erlaubt auch Zugriff auf Online Konten für Werbetreibende und andere

Ich hasse solche „heischenden“ und „reisserischen“ Titel. Aber in diesem Fall muss das sein, denn das Tracking ist nicht nur eines, das sich kaum verhindern lässt, die DSGVO und die Einstellungen im Browser, und damit Ihre Wünsche, aushebelt, sondern es ist tatsächlich auch ein enormes Sicherheitsrisiko.

„Wenn Sie dies nicht tun, können Sie 11,64% Ihrer Verkäufe, 11,53% Ihres Bruttoumsatzes und 20,82% Ihres Publikums verlieren.“

Criteo Email an Webseitenbetreiber

Cookies sind in der Werbeindustrie schon lange „von gestern“, Fingerprinting und andere Methoden sind schon längst im Einsatz und Werbetreibende lassen nicht nach, neue Methoden zu suchen, Sie eindeutig und umfangreich zu überwachen. Doch hier geht es zu weit, denn damit können Werbetreibende und auch andere Zugänge zu Emailkonten, Bankkonten und anderen erhalten. Ohne dass Sie Ihre Passwörter herausgegeben haben, ohne dass Sie gehackt wurden und selbst dann, wenn Sie und Ihre Browser bewusst Drittanbieter Cookies und Tracking untersagen.

Das ist ein Horrorszenario.

Auch dagegen wird Ihnen niemand helfen, nicht Ihr Datenschutzbeauftragter, nicht Ihre Regierung, niemand. Es gibt genau zwei Möglichkeiten dem zu entkommen: Firefox mit uBlock Origin, dazu später mehr oder die Verwendung von NextDNS. Dazu am Ende des Artikels mehr.

Das ganze nennt sich: CNAME Collusion oder auch CNAME Cloaking und wurde schon 2019 beschrieben.

Weil es etwas komplizierter wird, hier die

Zusammenfassung

Drittanbieter Cookies können von Werbetreibenden gesetzt werden, auch wenn Sie das im Browser bewusst blockieren (und damit Ihr Wunsch ignoriert wird).

Mit dieser Methode können Session Cookies (Cookies, die gesetzt werden, wenn Sie sich beim Mailkonto oder bei Amazon anmelden) an Werbetreibende gesendet werden, die Zugang zu Ihrem Bankkonto, Emailkonto oder Amazonkonto enthalten. Werbetreibende erhalten somit die Möglichkeit Zugriff auf Ihre Emails, Bankkontodaten etc. zu erhalten ohne Ihre Zugangsdaten zu kennen. Damit können Sie Ihre gesamte Amazon-Kaufhistorie einsehen, alle vorhandenen Emails auf dem Mailserver, Ihre Kontaktlisten uvm. Bösartige Angreifer könnten auf Ihre Kosten einkaufen oder Mails versenden.

10% der meist frequentierten Webseiten verwenden diese Technik bereits. Tendenz steigend.

Der einzige Schutz ist momentan der aktuelle Firefox mit einem aktuellen uBlock Origin Add-on. uBlock Origin für Google Chrome hilft NICHT.

Technische Erklärung

Criteo, ein führendes Tracking-Unternehmen, sendete eine E-Mail an Webseiten-Administratoren, mit denen sie eine Tracking- und Analyse-Beziehung haben. Darin werden die Betreiber aufgefordert, eine schnelle Änderung vorzunehmen, die „nur 2 Minuten dauert“ und „ihre Website an die Entwicklung der Browser anpasst.
Criteo hat also erkannt und missbilligt, dass Sie Ihren Browser so konfigurieren, dass Sie nicht mehr oder ein bisschen weniger getrackt werden. Aber, so Criteo, mit dieser Änderung werden Besucher auf eine „optimalere Weise“ wieder zu Datenlieferanten.
Nach einer Anleitung für den Webmaster der Webseite, wie die erforderliche Änderung vorzunehmen ist – was tatsächlich nur ein paar Minuten dauert – schließen sie mit:

„Wenn Sie dies nicht tun, können Sie 11,64% Ihrer Verkäufe, 11,53% Ihres Bruttoumsatzes und 20,82% Ihres Publikums verlieren.“

Criteo Email an Webseitenbetreiber

Das bringt uns zu einem kürzlich veröffentlichten Forschungsergebnis, das untersucht, wie weit verbreitet diese neue Technik in den letzten Jahren geworden ist. Die fünfköpfige Forschergruppe wird ihre Arbeit im Juli dieses Jahres auf dem 21st Privacy Enhancing Technologies Symposium (PETS 2021) vorstellen. Das Dokument ist aber jetzt schon verfügbar:

Zusammenfassung: Online-Tracking ist ein „Immer wieder kehrendes“-Spiel zwischen Trackern, die durch aufdringliche Datensammlung Verhaltensprofile von Nutzern erstellen und monetarisieren, und Anti-Tracking-Mechanismen, die als Browser-Erweiterung, in den Browser integriert oder als DNS-Resolver eingesetzt werden. Als Reaktion auf das allgegenwärtige und undurchsichtige Online-Tracking setzen immer mehr Benutzer Anti-Tracking-Tools ein, um ihre Privatsphäre (ein Menschenrecht, Anm. d. R.) zu schützen. Da die Informationen, die Tracker über Benutzer sammeln können, immer mehr eingeschränkt werden, suchen einige Tracker nach Möglichkeiten, diese Tracking-Gegenmaßnahmen zu umgehen. In diesem Beitrag berichten wir über eine groß angelegte Längsschnitt-Evaluierung eines Schemas zur Umgehung von Tracking-Maßnahmen, das CNAME-Einträge nutzt, um Tracker-Ressourcen in einen standortübergreifenden Kontext einzubinden und so effektiv Anti-Tracking-Maßnahmen zu umgehen, die auf festen Hostnamen basierende Blocklisten verwenden. Durch Verwendung von historischen HTTP-Archivdaten stellen wir fest, dass dieses Tracking-Schema schnell an Bedeutung gewinnt, insbesondere bei Websites mit hohem Traffic. Darüber hinaus berichten wir über mehrere Datenschutz- und Sicherheitsprobleme, die mit dem technischen Aufbau des CNAME-basierten Trackings einhergehen und die wir durch eine Kombination aus automatisierten und manuellen Analysen aufgedeckt haben. Wir stellen fest, dass einige Tracker die Technik gegen den Safari-Browser einsetzen, der bekanntermaßen über strenge Anti-Tracking-Konfigurationen verfügt. Unsere Ergebnisse zeigen, dass Websites, die CNAME-Tracker verwenden, zusätzliche Vorsichtsmaßnahmen ergreifen müssen, um zu vermeiden, dass sensible Informationen an Dritte weitergegeben werden.

https://arxiv.org/pdf/2102.09301.pdf (Übersetzt mit deepl und persönlichen Anpassungen)

Was sind CNAME Einträge?

Okay, Hmmm … Also, zunächst einmal, was sind CNAME-Einträge? Sie sind etwas, über das ich in der Vergangenheit noch nicht gesprochen habe. Es gehört zum DNS, dem Domain Name System, das ich schon kurz beschrieben habe.

Ein Beispieleintrag in einem DNS sieht vielleicht so aus:

www.untertauchen.info 3600 IN A 141.1.1.1

Ein DNS-„A“-Eintrag löst also einen bestimmten Domain-Namen in eine „gepunktete vierstellige“ IPv4-Adresse auf, wie oben beschrieben. Ein DNS-„AAAA“-Eintrag löst einen bestimmten Domain-Namen in eine IPv6-Adresse auf. Vergessen wir IPv6 für den Moment.

Grosse Firmen haben oftmals mehr als einen Server um den ganzen Verkehr bearbeiten zu können. Das heisst mehrere IP-Adressen können für denselben Dienst verantwortliche sein oder auch mehrere Namen mit einer IP-Adresse assoziiert werden. Sie können auf allen Systemen, Linux, macOS und Windows 10 mit dem Terminal ein Kommando starten, dass Ihnen einen Eintrag zeigt:

$ nslookup www.untertauchen.info

Sie sehen welcher Server verwendet wird und welche IP-Adresse der Rechner hat. Wenn Sie mehr Infos anschauen wollen, können Sie unter Linux und macOS das Kommando dig verwenden und unter Windows 10 Resolve-DnsName.

Sie bekommen mehr Informationen als nur die IP-Adresse. Aus verschiedenen Gründen können auch andere Einträge einer Domain abgefragt werden – z. B. um den öffentlichen Schlüssel bereitzustellen, der zur Überprüfung der Anti-Spam-Signaturen einer Domain verwendet wird. Obwohl der Hauptzweck des DNS also darin besteht, IP-Adressen zu suchen und zurückzugeben, ist es auch ein raffiniertes, verteiltes Internet-Verzeichnis, das alle möglichen anderen Informationen enthalten und zurückgeben kann. Eine weitere Art von Abfrage ist der CNAME.
CNAME steht für Canonical Name. Während eine „A“-Abfrage eine IPv4-Adresse (z.B. 141.1.1.1) zurückgibt, gibt eine CNAME-Abfrage einen anderen Domainnamen zurück. Der abgefragte Domain-Name wird als Alias betrachtet, und der zurückgegebene Name ist der kanonische Name für diesen Alias. Beispielsweise könnte im DNS stehen:

www.untertauchen.info.   150 IN  CNAME untertauchen.info.
untertauchen.info.       150 IN  A   81.169.145.77

Sie geben „www.untertauchen.info“ ein und erhalten keine IP-Adresse sondern einen neuen Namen, „untertauchen.info“. Und wie im Artikel über DNS erklärt wird dieser dann neu aufgelöst und Ihr Browser erhält die IP-Adresse 81.169.145.77. Verwende Sie die Befehle einfach mal für die Grossen an, www.microsoft.com oder www.google.com etc.

CNAME-Einträge werden vom DNS besonders behandelt. Wie Wikipedia erklärt:

Ein CNAME Resource Record (CNAME RR) ist im Domain Name System (DNS) dazu vorgesehen, einer Domäne einen weiteren Namen zuzuordnen. Die Abkürzung „CNAME“ steht für canonical name (engl. canonical = anerkannt) und bezeichnet daher den primären, quasi echten Namen.

Im einfachsten Fall verweist der von einem CNAME Resource Record definierte weitere Domänenname („Alias“) auf den Domänennamensteil in einem A Resource Record (oder einem AAAA Resource Record). Dieser Resource Record wiederum verbindet dann den ursprünglichen Domänennamen mit einer IP-Adresse. Beim Wechsel einer IP-Adresse muss folglich nur noch dieser Resource Record geändert werden und alle per CNAME Resource Record definierten Aliase verweisen ebenfalls auf die neue IP-Adresse. Im Gegenzug ist die Namensauflösung über den CNAME Resource Record aufwendiger.

Wikipedia

Criteo verlangte in der E-Mail an die Webseiten-Administratorenbeispielsweise „untertauchen.info“, einen CNAME-Eintrag im DNS ihrer Website zu platzieren, so dass eine beliebige, aber spezifizierte Subdomain von „untertauchen.info“, wie zum Beispiel „xxyyrr.untertauchen.info“ dort enthalten ist. Diese Subdomäne könnte dann beispielsweise ein Alias für den kanonischen Namen „ich-tracke-dich.de“.

xxyyrr.untertauchen.info. 150 IN  CNAME ich-tracke-dich.de.
ich-tracke-dich.de.       150 IN A 141.1.1.1

Wenn also jemand die IP-Adresse für „xxyyrr.untertauchen.info“ nachschlagen möchte, wird der ihm zugewiesene DNS-Resolver (der sich um die Umwandlung von Namen in IP-Adressen für Sie kümmert) die Nameserver der untertauchen.info-Domäne für diese Subdomäne abfragen. Da es sich bei diesem Subdomain-Eintrag um einen CNAME-Eintrag handelt, wird dieser an den anfragenden DNS-Resolver zurückgegeben. Ihm wird im Wesentlichen gesagt: Wenn Sie „xxyyrr.untertauchen.info“ wollen, befindet es sich tatsächlich unter dem Domainnamen ich-tracke-dich.de. Daraufhin fragt der DNS-Resolver des Benutzers „ich-tracke-dich.de“ nach seiner IP-Adresse und gibt diese an den ursprünglich anfragenden Benutzer/Browser zurück. Das läuft alles innerhalb des DNS Prozesses ohne Ihr Wissen oder das Wissen des Browsers ab.

Aus der Sicht des Benutzers haben Sie nach der IP einer Subdomain von „untertauchen.info“ gefragt. Und sie haben eine IP erhalten. Aber aufgrund vorheriger Absprachen zwischen der Webseite, die sie besuchen, und „ich-tracke-dich.de“, war die IP-Adresse, die sie erhielten, für „ich-tracke-dich.de“. Aus Sicht des Webbrowsers des Benutzers ist dies eine „In-Domain“ „Selbe-Domain“-Abfrage (weil alles wie „untertauchen.info“ aussieht und die Suche nach „ich-tracke-dich.de“ im Hintergrund des DNS implizit abläuft), so dass die Beschränkungen für Cookies von Drittanbietern nicht gelten und der Webbrowser des Benutzers diese Abfrage als eine Subdomain der besuchten Website behandelt. Cookies bleiben nur für die eigene Domain zugänglich. Gerade wenn Sie Drittanbieter-Cookies deaktivieren. D.h., wenn Sie auf a.amazon.de surfen und ein Cookie gesetzt wird und dann auf b.amazon.de und danach nur auf amazon.de dann sind alle gesetzten Cookies für Amazon lesbar. Baut die Webseite im Hintergrund eine Verbindung zu „unbekannt.de“ auf dann kann diese die Cookies von Amazon nicht lesen, aber sein eigenes setzen. Dieses ist von Amazon dann nicht einsehbar, weil die Domäne unterschiedlich sind und das als Drittanbieter-Cookie verstanden wird.

In dem Fall wie oben beschrieben wird genau dieser Schutzmechanismus umgangen. Sie glauben, dass das Cookie von untertauchen auch bei untertauchen bleibt, aber de facto ist es ein „ich-tracke-dich.de“ Cookie. Das heisst auch, dass „ich-tracke-dich.de“ alle Ihre Cookies von untertauchen sehen kann. Das bedeutet Ihr Wunsch nicht via Werbetreibenden überwacht zu werden, die Einstellungen, die Sie im Browser bewusst vorgenommen haben, Ihr Wunsch nach Ihrem Menschenrecht, Privatsphäre, wird bewusst und willentlich umgangen.

So schlecht so ärgerlich.

Was wir also bis jetzt haben, ist ein unfassbar hinterhältiges Mittel, um die Wünsche des Benutzers nach Anti-Tracking absichtlich außer Kraft zu setzen, und zwar von Webseiten, die meinen, dass sie ein übergeordnetes Recht (sozusagen ein Supergrundrecht, Danke Herr de Maizière) gegenüber Ihren Wünschen haben, ihre Besuche zu verfolgen und auszunutzen. Natürlich kann man hier mit DSGVO argumentieren, aber die Anbieter werden technisch gute und logische Gründe vorbringen, warum das leider notwendig ist um den Dienst zu erbringen. Und ganz ehrlich: Ich habe seit neun (9!!!) Monaten eine Beschwerde über die Datenschutzbeauftragten laufen, vergessen Sie es einfach.
Aber, ob Sie es glauben oder nicht, es wird noch viel schlimmer… Sehr viel schlimmer. Sie werden es nicht glauben:

Sicherheitsrisiko

Beispiel: Ihr comdirect, amazon, gmx, gmail Cookie, dass Sie zum Einloggen brauchen um sich durch das System zu navigieren, wird an Facebook, Google, Criteo und andere Werbetreibenden gesendet. Diese Cookies sind eigentlich nur für die eigene Domain gedacht, also nur Amazon kann Amazon Cookies sehen und nutzen, siehe oben. Nicht mehr.

Die Anmelde-Session-Authentifizierungs-Cookies der Besucher dieser Webseiten werden außerhalb der Domain (also ausserhalb von beispielsweise Amazon) an nicht vertrauenswürdige und, wie ich behaupte, nicht vertrauenswürdige Drittanbieter für Tracking und Analysen gesendet. Die Tatsache, dass dies über HTTPS geschieht, bietet keine Sicherheit. Jeder dieser Tracking-, Werbe- und Analysefirmen – von denen die Forscher bisher 13 identifiziert haben – können sich auf sehr einfache Weise als jeder Benutzer einer beliebigen Webseite ausgeben, der sich nicht explizit abgemeldet hat und daher ein noch gültiges Authentifizierungs-Cookie besitzt. Beispiel: Sie surfen so in der Gegend rum, sind bei Amazon angemeldet, weil Sie Ihrem Partner etwas zum Valentinstag kaufen wollen. Gleichzeitig schauen Sie bei der Bank, weil Sie wissen wollen, wie teuer das Geschenk sein darf. Und zu guter Letzt sind Sie noch bei Ihrem Mailanbieter eingeloggt, damit Sie parallel Ihre Mails checken können. Alle diese Cookies können an Werbetreibenden mit dieser Methode gesendet werden. Und solange Sie sich nicht explizit ausloggen oder nach einer Zeit Inaktivität rausgeschmissen werden, können diese Werbetreibende auf Ihre Mail, Ihr Amazonkonto etc. zugreifen. Mit diesen Cookies.

Das ist ein unglaublicher Vertrauensbruch und Missbrauch der Web-Technologie und des Vertrauens der Nutzer. Es umgeht die DSGVO, es umgeht Ihre Einstellungen im Browser, es umgeht alles. Und trackt Sie nicht nur, sondern erlaubt auch Zugriff auf Ihre Online-Konten.

Um das zu testen, bin ich auf eine Webseite gestoßen, die es erlaubt, mit dem Cookie- und Subdomain-Handling des eigenen Browsers zu spielen und es auszuprobieren, um genau dieses Problem zu verstehen.
https://scripts.cmbuckley.co.uk/cookies.php
Beim Testen verwendete ich Firefox 86 mit aktiviertem „Total Cookie Protection“ und ohne uBlock Origin und er blockierte nichts von diesem Leck, weil diese nicht von Drittanbietern stammen, aus Sicht von Firefox.
Das sind heimtückische Subdomain-Cookies.

Verbreitung

Wie weit verbreitet ist das? Dankenswerterweise haben sich diese Forscher die Mühe gemacht, das Ausmaß dieser branchenweit verbreiteten Webseiten-Collusion mit der Tracking-Industrie aufzudecken. Es ist nicht schwierig. Sie können das selber machen, aber das spare ich mir hier mal.
Die Forscher fanden diese Technik derzeit auf insgesamt 10.474 Webseiten. Von den 10.000 Top-Websites verwenden 9,98 % diese Form des CNAME-Trackings, des Cloaking, der Subdomain-Absprache. Unfassbar! Eine von 10 der meistbesuchten Webseiten, trackt Sie darüber. Ich bin sicher, die lachen sich über die DSGVO kaputt.

Die Forscher beobachteten eine

gezielte Behandlung von Apples Safari-Webbrowser,

bei der die Werbetechnologie-Firma Criteo (die die Email schrieb, die ich am Anfang erwähnte) speziell auf CNAME-Cloaking umstieg, um die ansonsten starken Datenschutzvorkehrungen von Safari zu umgehen. Also:

Wenn Browser=Safari, dann CNAME Tracking!

Nein, das war es noch nicht.

Datenlecks

Was ist mit Datenlecks? Erhebliche Cookie-Datenlecks fanden die Forscher auf 95% der Webseiten, die CNAME-Tracking verwendeten. Das heisst Cookies von einer Domäne, wie zum Beispiel Amazon landen bei Facebook oder anderen. Alle diese Webseiten sendeten Cookies, die private Informationen wie vollständige Namen, Standorte, E-Mail-Adressen und sogar Sitzungsauthentifizierungs-Cookies enthielten (siehe oben), an Tracker anderer Domains, ohne dass der Benutzer davon wusste oder dies kontrollieren konnte.

Die fünf Ursprünge mit den meisten durchgesickerten Cookies an CNAME-basierte Tracker:

  • www.google-analytics.com
  • connect.facebook.net
  • www.googletagmanager.com
  • bat.bing.com
  • assets.adobedtm.com

Sie sind jetzt nicht wirklich überrascht, oder?

Wer sind die Tracker:

  • Pardot, gehört zu SalesForce
  • Adobe Experience Cloud
  • Act-On Software
  • Oracle Eloqua
  • Eulerian
  • Webtrekk (den ich schon in dem Artikel XXX vorgestellt habe)
  • Ingenious Technologies
  • TraceDock
  • <intent>
  • AT Internet
  • Criteo (die von der Email am Anfang)
  • Keyade
  • Wizaly

Suchen Sie diese mal auf Wikipedia. Viel Spaß!

Der mit Abstand schlimmste Übeltäter, der 5.993 entdeckte Websites infiziert, ist „Pardot“, ein SalesForce-Unternehmen, das sich selbst als „leistungsstarke B2B-Marketing-Automatisierung“ vermarktet und behauptet:

Pardot bietet leistungsstarke Marketing-Automatisierung, um Marketing- und Vertriebsteams dabei zu helfen, die besten Leads zu finden und zu pflegen, mehr Geschäfte abzuschließen und den ROI zu maximieren.

Nummer zwei auf der Hitliste ist Adobe Experience Cloud, und die gute Nachricht ist, dass uBlock Origin beide blockiert. In einer Anmerkung zu dieser Tabelle stellen die Forscher jedoch fest, dass Pardot blockiert wird, weil das Skript eines Drittanbieters, das von pardot.com stammt, blockiert wird, und dass, wenn dieses Skript nicht blockiert würde, CNAME-Missbrauch erfolgreich wäre.
Die Forscher haben zu den CNAME-Gegenmaßnahmen Folgendes zu sagen:

Als Reaktion auf einen Bericht, dass ein Tracker CNAMEs verwendet, um Datenschutz-Blocklisten zu umgehen, hat uBlock Origin ein Update für seine Firefox-Version veröffentlicht, das CNAME-Cloaking vereitelt. Die Erweiterung blockiert Anfragen an CNAME-Tracker, indem sie die Domainnamen mit der [browsereigenen] browser.dns.resolve API-Methode auflöst, um den letzten CNAME-Eintrag (falls vorhanden) zu erhalten, bevor jede Anfrage gesendet wird. Anschließend prüft die Erweiterung, ob der Domainname mit einer der Regeln in ihren Blocklisten übereinstimmt, und blockiert Anfragen mit übereinstimmenden Domains, während sie das Ergebnis zu einem lokalen Cache hinzufügt.
Obwohl uBlock Origin auch eine Version für Chromium-basierte Browser hat, kann die gleiche Verteidigung nicht angewendet werden, da Chromium-basierte Browsererweiterungen keinen Zugriff auf eine API zur Durchführung von DNS-Abfragen haben. Daher ist es für diese Erweiterungen zum Zeitpunkt der Erstellung dieses Artikels technisch unmöglich, Anfragen an Tracker zu blockieren, die CNAME-Einträge nutzen, um eine Erkennung zu vermeiden. uBlock Origin für Chrome, das keine explizite Verteidigung für CNAME-basiertes Tracking hat, schafft es dennoch, mehrere Tracker zu blockieren. Dies liegt daran, dass die Anfragen an die Tracker einem Eintrag der Blockliste mit einem URL-Muster entsprachen, das den Hostnamen nicht berücksichtigte. Leider ist es für den Tracker relativ einfach, eine solche feste regelbasierte Maßnahme zu umgehen, z. B. durch Zufallsgenerierung des Pfades des Tracking-Skripts und des Analytics-Endpunktes, wie die verschiedenen Tracker zeigen, die nur von der uBlock Origin-Version auf Firefox blockiert werden konnten.

https://arxiv.org/pdf/2102.09301.pdf (Übersetzt mit deepl und persönlichen Anpassungen)

Die Schlussfolgerung der Forscher:

Unsere Forschung wirft ein Licht auf das aufkommende Ökosystem des CNAME-basierten Trackings, ein Tracking-Schema, das sich eine DNS-basierte Tarntechnik zunutze macht, um Tracking-Gegenmaßnahmen zu umgehen. Unter Verwendung von HTTP-Archivdaten und einer neuartigen Methode haben wir eine Längsschnittanalyse des CNAME-basierten Tracking-Ökosystems anhand von Crawl-Daten von 5,6 Millionen Webseiten durchgeführt. Unsere Ergebnisse zeigen, dass CNAME-basierte Tracker im Gegensatz zu anderen Trackern mit ähnlichem Umfang immer beliebter werden und meist als Ergänzung zu „typischen“ Tracking-Diensten von Drittanbietern verwendet werden.
Wir haben die Datenschutz- und Sicherheitsbedrohungen evaluiert, die durch die Einbindung von CNAME-Trackern in einem seitenübergreifenden Kontext verursacht werden. Durch eine manuelle Analyse fanden wir heraus, dass sensible Informationen wie E-Mail-Adressen und Authentifizierungs-Cookies an CNAME-Tracker auf Websites gelangen, auf denen Benutzer Konten erstellen können. Darüber hinaus haben wir eine automatisierte Analyse der Cookie-Lecks zu CNAME-Trackern durchgeführt und festgestellt, dass von anderen Parteien gesetzte Cookies auf 95 % der untersuchten Websites zu CNAME-Trackern durchsickern.

Schließlich haben wir zwei große Web-Sicherheitslücken identifiziert, die durch CNAME-Tracker verursacht wurden. Wir haben die Schwachstellen den entsprechenden Parteien offengelegt und mit ihnen zusammengearbeitet, um die Probleme zu entschärfen. Wir hoffen, dass unsere Forschung dazu beiträgt, die von uns aufgezeigten Sicherheits- und Datenschutzprobleme zu beheben und die Entwicklung von Gegenmaßnahmen und die Politikgestaltung in Bezug auf Online-Datenschutz und Tracking zu unterstützen.

https://arxiv.org/pdf/2102.09301.pdf (Übersetzt mit deepl und persönlichen Anpassungen)

Meinung

Was wir hier haben ist also ein echter Mist. Cookies waren mal eine gute Möglichkeit, und dafür entwickelt, den Status einer Seite zu behalten, damit Sie sich nicht bei jedem Klick neu anmelden müssen. Das war ok. Dann haben einige findige Werbetreibende Cookies zum Überwachen entwickelt. Das Problem war, dass dieses Tracking unsichtbar war. Es wäre der Job der Technologen, nein zu sagen und diese Nutzung der Technologien zu stoppen. Aber das geschah nicht.
Dann entstand langsam ein Bewusstsein und Nutzer deaktivierten und ggf. löschten Cookies von Drittanbietern. Das Ergebnis war: Das Browser-Fingerprinting als Mittel, um das, was sich zu einer Tracking-Industrie entwickelt hatte, im Griff zu behalten, uns auszuspähen und mit den Daten viel Geld zu verdienen.
Browserherstellern gefiel die Umgehung von Cookies gar nicht und sie ergriffen Massnahmen gegen das Fingerprinting.
Und nun haben wir es mit dem vielleicht ultimativen Missbrauch der Tracking-Technologie zu tun: Dank expliziter Absprachen zwischen einer wachsenden Zahl von Webseiten wird es Dritten erlaubt, die Cookies einer Website zu erhalten. Als Webseitenbetreiber müssen Sie das nicht mal wissen. Es ist eine Einstellung im DNS, der wird irgendwo eingetragen. Unsere eingeloggten Session-Cookies werden von Drittanbietern empfangen, zu denen Sie keine Beziehung haben und bei denen Sie sich sicherlich weigern würden, ihre Anmeldesitzung und verschiedene andere, möglicherweise persönliche, Daten zu teilen, wenn Sie das wüssten. Das, was hinter Ihrem Rücken geschieht.
Wie bei dem ursprünglichen Missbrauch von Drittanbieter-Cookies, mit dem all dies begann, kann es nicht die Aufgabe von Ihnen, von uns, sein, NEIN zu sagen. Sie und ich benutzen einfach die Browser und die Technologie, die die Techies und die Firmen uns geben. Es MUSS die Verantwortung der Webseitenbetreiber und ggf. der Regierungen sein, sich auf jede erdenkliche Weise zu wehren und den Verbraucher zu schützen.
Ich bin sehr sehr froh, dass diese Forschung ein helles Licht auf diese verheerende Tracking-Praxis der nächsten Generation geworfen hat. Diese Methode muss sofort abgeschaltet werden.

Die Annahme bei Cookies ist, dass sie, so schlecht und missbrauchsanfällig sie auch sein mögen, wenigstens innerhalb der Domain bleiben, die sie gesetzt hat. Zumindest ihr Inhalt, was auch immer dieser sein mag – selbst wenn es der tatsächliche Name und die reale Identität eines Benutzers ist, so schlecht das auch wiederum sein mag – bleibt zumindest innerhalb dieses „Vertrauensbereiches“. Während Cookies also zur Nachverfolgung verwendet werden können, sind die einzigen Daten, die jemals an eine Domain zurückgegeben werden, etwas, das diese Domain zuvor gesendet hat. Es ist also per Definition nicht geheim für diese Domain. Sie erlauben die Cookies und die Domain nutzt sie. Das macht Sinn und ist für die meisten Anwender, auch welche denen Datenschutz wichtig ist, ok. Sonst ginge Online-Banking oder Artikel in den Einkaufskorb legen nicht.
Aber jetzt, dank des unfassbaren Missbrauchs von CNAMEs, die verwendet werden, um absichtlich Cookie-Domains zu verwirren, werden Daten mit Abfragen von Webbrowsern der Benutzer an Firmen gesendet, die diese Daten nie gesetzt haben. Wie die Forscher feststellten, enthalten diese Daten, die niemals an Dritte weitergegeben werden sollten, oft Informationen, die Tracking-Firmen nur zu gerne haben und nutzen würden. Mit dieser Technik müssen die Sammler keine komplizierten Wege suche. Sie müssen lediglich Webseiten dazu bringen, mit ihnen zu kooperieren, indem sie einen CNAME-Eintrag in den DNS der Domain einfügen. Und auch Kriminelle können das nutzen.

Die gute Nachricht

Die einzige gute Nachricht hier ist, dass das uBlock Origin-Add-on, über das ich berichtet habe, zumindest teilweise effektiv ist, um Zugriffe auf diese abscheulichen Subdomains zu erkennen und zu blockieren. uBlock löst innerhalb des Firefox alle Domänen erst auf, bevor es neue Daten anfragt oder sendet und stellt dann fest, dass es einen CNAME gibt und blockiert so die Weitergabe der Daten. Das funktioniert nur im Firefox. Das uBlock Origin Plug-In für Google Chrome kann das nicht.

Eine andere Alternative ist die Verwendung von NextDNS. 300.000 Anfragen im Monat sind kostenlos, danach müssen Sie bezahlen. Im Homeoffice mit der ganzen Familie und im Homeschooling mit den Kindern sind diese 300.000 Anfragen sehr schnell ausgeschöpft. Auch anzumerken ist, das NextDNS in den USA sitzt. Sie müssen entscheiden, ob Sie all Ihren Internetverkehr über einen DNS in den USA laufen lassen wollen. Für dieses Problem hier ist es aber eine Lösung. Ich für meinen Teil bevorzuge Firefox und uBlock.

Danke für das Firefox Add-on. Ein weiterer Grund für diesen Browser.