Best Verkaufs Stiefel Stiefel Stiefel Braun Größe 39 Kunstleder Neu Schuhe associate 3fc681

Best Verkaufs Stiefel Stiefel Stiefel Braun Größe 39 Kunstleder Neu Schuhe associate 3fc681
Werde Sponsor und wirb für dein Unternehmen!

Best Verkaufs Stiefel Stiefel Stiefel Braun Größe 39 Kunstleder Neu Schuhe associate 3fc681

1. Vertrauen verspielt
WOT-Addon

Best sale 3b144 35cff wmns nike air max gs leisure Turnschuhe,Best price for Adidas NMD R1 schuhe Ftwr Weiß Blau New,adidas forBest online 819db 9aea0 mens adidas performance pure boost schwarz,Best Lawyers Summer Business Edition 2015 by Best Lawyers issuuBest Deals On Adidas Nmd R1 Pk schwarz compaROTaddyBest Buy Herren Schuhes Adidas Nmd R1 Primeknit Runner Camo Pack Uk 7,Best adidas Schuhes Reviewed Rated in 2018 | NicerSchuhesBest 25+ Adidas ultra boost men ideas | Herren ultra boost, Adidas,Besitzen Adidas Nmd R1 Gray, Turnschuhe Licht Herren Schwarz Blau,Bering Uhren jetzt online kaufen auf CHRIST,Bequem adidas Herren adizero 5 Star x Kevlar Fußballschuh www,Belstaff Jacke Fantastische Einsparungen Köln Einkaufen GünstigeBeliebte Herren Sneaker von Adidas Los Angeles Sneaker in rot / weißBeliebt Kauf dich glücklich KMB Stiefelette 38 schwarz Stiefel,Beliebt adidas Originals ZX FLUX I Sneaker low flash ROT core schwarz,Beli Sepatu Sneaker Adidas Nmd R2 Pk Army Grün,Beige Adidas Stan Smith Klassische Schuhe Herren AustriaBegrenzt adidas Schuhe Verkauf: adidas Originals Campus Schuhe Rosa,Bedwin The Heartbreakers X Adidas Nmd R1 Grau Weiß Università,Beauty Converse Purple Chuck Taylor All Star Slippers Sandales Damenschuhe,Beauqueen Herren Pedal Flat Casual Business Cozy Schuhe Falten Wandern,BB6778} MEN'S ADIDAS ORIGINALS EQT SUPPORT ADV Schuhe Weiß/NAVY/ROT,Batz ATTILA Hochwertigem Komfortschuhe Lederschuhe Pantolette,Basketballschuhe adidas, adidas NMD R1 Sneaker für Damen Blau,Basketball Schuhe Für Herren Trainer 2 Flyknit Atmosphere Grau,Basic ratios (video) | Intro to ratios | Khan AcademyBargains on Adidas Originals Flashback Primeknit Damens's Sneaker,Baratas Adidas Originals Stan Smith Boost Azul/Lino Verde Mujer,Bape Shark Yeezy 350 UA Boost V2 Unboxing Review | Martha Sneakers,Bambas adidas baratas, Outlet Adidas Originals Stan Smith Flyknit,

In einer monatelangen Recherche konnten Reporter von Panorama und ZAPP Zugang zu einem umfangreichen Datensatz erlangen und ihn auswerten. Darin enthalten ist jede Bewegung von Millionen von Internet-Nutzern im Monat August. Mit den Daten lässt sich das Leben der User bis in den intimsten Bereich nachzeichnen. In dem Datensatz finden sich neben privaten Nutzern auch Personen des öffentlichen Lebens: Manager, Polizisten, Richter und Journalisten.

Dieser Ausschnitt stammt aus dem Beitrag Nackt im Netz: Millionen Nutzer ausgespäht, an dessen Recherche ich ebenfalls beteiligt war. Genauer: An der Analyse eines jener Browser-Addons, die den Nutzer ausspähen. Mittlerweile ist dazu auf tagesschau.de ein Beitrag erschienen »Web of Trust späht Nutzer aus« und ebenfalls auf mobilsicher.de »Die Spur der Daten«.

Der vorliegende Beitrag ist als Ergänzung gedacht. Sozusagen ein Blick hinter die Kulissen, was sich technisch bei der Nutzung des WOT-Addons im Browser abspielt. In Auftrag von mobilsicher.de, die das Thema des NDR redaktionell mit Tipps und Maßnahmen gegen die Ausspähung begleiten, habe ich das Firefox-Addon WOT gemeinsam mit der Journalistin Svea Eckert analysiert.

Hinweis: TV-Beiträge zum Thema auf Panorama 3 (NDR, 1. November, 9 Minuten), dem Medienmagazin ZAPP (ARD, 2. November, 8 Minuten), sowie auf Panorama (ARD, 3. November, 11 Min.).

2. WOT: Web of Trust Fraud

Die Beschreibung von »WOT – Sicher surfen« auf der offiziellen Addon-Seite von Mozilla klingt vielversprechend:

WOT ist ein Reputations- und Rezensionsservice für Websites, der Ihnen dabei hilft, eine fundierte Entscheidung darüber zu treffen, ob Sie einer Website vertrauen möchten, wenn Sie online suchen, shoppen oder surfen.

Mit über 900.000 aktiven Nutzern und gut 1000 Bewertungen zählt das Addon zu den »Most Popular Extensions« innerhalb des Firefox-Universums. Im Wikipedia-Artikel wird das Web of Trust sogar als »eine der größten Bewertungsplattformen für Webseiten« bezeichnet. Das Addon steht übrigens nicht nur für den Firefox-Browser zur Verfügung, sondern ebenfalls für die folgenden Browser:

  • Internet Explorer
  • Google Chrome
  • Opera
  • Apple Safari

Laut den offiziellen Angaben von WOT basieren die Webseiten-Ratings auf einer Nutzergemeinschaft von 140 Millionen Usern.

Jetzt aber genug von langweiligen Zahlen, die sich jeder mit ein paar Klicks im Internet besorgen kann. Kommen wir nun zu den interessanten Details.

2.1 Maskierte Datenmitschnitte

Das Prinzip von WOT ist simpel: Sobald ein Nutzer das Addon installiert und eine Webseite aufruft, muss in irgendeiner Form ein Abgleich stattfinden, ob die angesurfte Webseite »vertrauenswürdig« ist oder nicht. Im Gegensatz zu Google Safebrowsing löst das WOT allerdings nicht mit einer lokalen Datenbank im Browser, die gelegentlich aktualisiert wird, sondern jede aufgerufene Webseite während des Surfens wird an WOT übermittelt, dort im System abgeglichen und das Ergebnis wieder an das Addon zurückgeliefert. Anhand der Ampelfarbe weiß der Nutzer anschließend, ob er der Webseite vertrauen kann. Für dieses Prinzip müsste WOT streng genommen lediglich den Domainnamen einer Webseite übermitteln – soweit die Theorie.

Der erste Datenmitschnitt des WOT-Addons war ernüchternd:

#1 GET-Request

GET-Request - Maskiert

Daraus lässt sich ableiten:
Die »id=26d8***« ist eindeutig und wird dem Nutzer bzw. dem Browser bei der Installation einmalig zugeteilt. Das lässt theoretisch eine eindeutige Identifikation des Browsers / Users bzw. des installierten WOT-Addons zu. Dahinter sehen wir noch weitere Parameter.

  • nonce=78cb***
  • target=5Jh%***
  • lang=de
  • version=firefox-20151209
  • auth=52cd***

Mehr als die Sprache »lang=de« und die WOT-Version »version=firefox-20151209« lässt sich daraus allerdings nicht ableiten.

#2 POST-Request

POST-Request - Maskiert
Beim POST-Request werden ähnliche Informationen wie beim ersten Request übermittelt. Allerdings wird im Body des HTTP-Requests noch mehr unlesbarer »Kauderwelsch« in Form von »e=Y3owe***« übertragen.

Mit den übermittelten Informationen lässt sich wenig anfangen. Erfreulicherweise steht WOT auf GitHub quelloffen zur Einsicht – also ran ans Werk…

2.2 Unmaskierte Datenmitschnitte

Es hat etwas Mühe gekostet den Quelltext zu verstehen und die »Verschleierungen« in Form von Hashes, Verschlüsselungen und weiteren Code-Spielereien zu bereinigen. Die »problematischen« Code-Zeilen lassen sich auf einen Commit vom 20. April 2015 zurückverfolgen (Übertragung der vollständgen URL, doppelte Base64-Encodings, usw.). Ein erneuter Datenmitschnitt mit einer angepassten Variante des WOT-Addons bringt anschließend neue Erkenntnisse:

#1 GET-Request

GET-Request - Unmaskiert

Daraus lässt sich ableiten:

  • Die »id=d6089***« ist eindeutig und wird dem Nutzer bzw. dem Browser bei der Installation des WOT-Addons einmalig zugeteilt
  • Hinter dem Parameter »nonce« verbirgt sich:
    • wot_prefs.witness_id mit dem Wert »d6089***« – also nochmal die eindeutig zugewiesene ID
    • wot_prefs.update_checked mit dem Wert »14745***«
    • wot_prefs.cookie_updated mit dem Wert »14745***«
    • Die verwendete WOT-Version, also die Versionsnummer des Addons mit dem Wert »20150708«
    • wot_browser.geturl mit dem Wert »
    • wot_browser.getreferrer mit dem Wert »leer«. Wäre ich bspw. von mobilsicher über einen Link auf den Blog gekommen, wäre der Wert des Parameters bspw. »«
    • counter mit dem Wert »14745***«
    • Date.now mit dem Wert »1474548***«
  • Hinter dem Parameter »target« verbirgt sich ähnliches wie bei »nonce« mit der folgenden Ergänzung
    • hostname mit dem Wert »

#2 POST-Request

POST-Request - Unmaskiert

Neue Erkenntnisse lassen sich hier insbesondere aus dem unteren Teil (HTTP Request Body) des Parameters »e=****« entnehmen:

  • q mit dem Wert »
  • prev mit dem Wert »

Weshalb ist der Wert »prev« nun interessant? WOT speichert und übermittelt die URLs von besuchten Webseiten auch dann, wenn das Addon diese nicht aus dem HTTP-Referrer auslesen kann. Es existiert also eine Art Zwischenspeicher, der sich jede angesurfte URL Tab-übergreifend »merkt«.

Fassen wir zusammen:
Das WOT-Addon übermittelt weitaus mehr Informationen, als es für die simple Diensterbringung erforderlich wäre. Darunter auch die vollständige URL, die jemand in seinem Browser aufruft. Ein Blick in die Datenschutzerklärung von WOT verrät:

The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities („Non-Personal Information„). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable. We collect the following Non-Personal Information from you when you install or use the Product or use the WOT Platform:

  • Your Internet Protocol Address;
  • Your geographic location (e.g., France, Canada, etc.);
  • The type of device, operating system and browsers you use;
  • Date and time stamp;
  • Browsing usage, including visited web pages, clickstream data or web address accessed;
  • Browser identifier and user ID;

Das deckt sich mit den »unmaskierten« Datenmitschnitten und ist so gesehen noch kein Skandal.

2.3 Falle gestellt – Falle zugeschnappt

Bisher konnte lediglich gezeigt werden, dass WOT Informationen übermittelt, die es im Grunde nicht für die Diensterbringung benötigt. Letztendlich mussten wir also eine Falle stellen, um zu beweisen, dass WOT die von den Nutzern erfassten Surfdaten tatsächlich an Dritt-Parteien weitergibt. Aber nicht nur das, sondern das die von WOT gesammelten Daten entgegen der Datenschutzerklärung sehr wohl Informationen enthalten, mit dem sich eine Person deanonymisieren lässt:

We do not collect from you or share any individually identifiable information, namely information that identifies an individual or may with reasonable effort be used to identify an individual („Personal Information„) when you install or use the Product. However, we might collect Personal Information solely in the following events:

[…]

TO CLARIFY, IF YOU SOLELY USE THE PRODUCT WITHOUT REGISTRATION, WE WILL NOT COLLECT, STORE OR SHARE ANY PERSONAL INFORMATION FROM YOU.

Mit einer simplen Idee hatten wir schließlich Erfolg: Ich erstellte eine neue Subdomain (what.kuketz.de), die bisher weder existierte, noch jemand kannte. Im Anschluss setzte ich eine neue Linux Virtual Machine auf, startete Firefox und installierte mir als einziges Addon WOT. Nach knapp einer Woche tauchte mein Browser bzw. meine besuchten URLs dann schließlich in den Datensätzen des NDR auf – Jackpot!

Hinweis: Der Mitschnitt aus dem NDR-Datensatz erstreckt sich über mehrere Tage und wurde von mir gekürzt.

Jede URL, die ich in diesem Zeitraum besuchte, erscheint ungekürzt, inklusive Session ID, in den Datensätzen des »Datenhändlers«. Diesen Vertrauensbruch wirklich und wahrhaftig zu sehen hat mich ehrlich gesagt schockiert, auch wenn ich schon so einiges gewohnt bin. Letztendlich ist es mir gelungen, mich über die Datensätze selbst zu deanonymisieren – gruselig, einfach gruselig.

Update

 Ein Leser hat eine  Anfrage auf Selbstauskunft formuliert, die ihr an WOT in Finnland senden könnt. Eventuell bekommt ihr eine Antwort mit Auskunft über eure Daten. Die EU-DS-GSV ist zwar noch nicht in Kraft, aber Finnland hat ihr eigenes Datenschutzgesetz (Personal Data Act 523/1999), das natürlichen Personen ähnliche Rechte einräumt wie §34 BDSG. Download in unterschiedlichen Dateiformaten:

Hilf mit die Spendenziele zu erreichen!
Mitmachen

2.4 Andere Browser-Versionen betroffen?

Diese Frage kann ich im Moment leider nicht beantworten, da wir im Zuge der Recherche lediglich die Firefox-Variante von WOT einer Prüfung unterzogen haben. Sicherheitshalber würde ich empfehlen das Addon auch in anderen Browsern zu deinstallieren:

  • Internet Explorer
  • Google Chrome
  • Opera
  • Apple Safari

3. Sind auch andere Addons betroffen?

Das vermuten wir, ja. Jedenfalls gibt es weitere Hinweise und auch Addons in Chrome scheinen von den Datensammlern unterwandert. Aktuell diskutieren wir, ob und wie wir weitere Browser-Addons einer Prüfung unterziehen. Am Fall von WOT hat sich gezeigt, dass sich solch eine Aufgabe vermutlich nicht automatisiert lösen lässt, sondern immer eine manuelle Nachprüfung erforderlich sein wird.

Abraten würde ich von der Verwendung von AdBlock Plus und Ghostery, die ich beide schonmal kurz auf dem Microblog erwähnt hatte.

Mutmaßung: Persönlich glaube ich, dass wir nur die Spitze eines Eisbergs freigelegt haben und weitaus mehr Addons heimlich Surfprofile von Nutzern erstellen oder ihn anderweitig ausspionieren.

Update

 Aufgrund der hohen Anfrage per E-Mail: Wer spurenarm und werbefrei im Netz surfen möchte, der sollte einen Blick auf das » 3-Browser-Konzept« werfen. Dort wird erklärt worauf es ankommt.

4. Fazit

Die Analyse beweist: WOT protokolliert das Surfverhalten eines Nutzers nicht nur lückenlos, sondern verkauft / gibt die Daten offenbar auch noch an Drittunternehmen weiter. Es ist bezeichnend, welchen Aufwand die Entwickler betrieben haben, um die übermittelten Daten vor dem Auslesen zu schützen (Möglicherweise stecken da auch noch andere Design-Gründe dahinter, siehe nonce). Erst durch eine Anpassung des Quellcodes wurde sichtbar, welche Informationen WOT tatsächlich an die Server überträgt. Anders als in der Datenschutzerklärung behauptet, können die von WOT gesammelten Informationen allerdings sehr wohl zur Deanonymisierung von Nutzern beitragen – wie die NDR Recherche eindeutig belegt. Und darin liegt auch der Skandal: Die Sammlung personenbeziehbarer Daten, die im Anschluss dann auch noch an Drittunternehmen ausgehändigt werden.

Damit wäre hoffentlich ein weiteres Märchen widerlegt: Selbst wenn ein Unternehmen in seiner Datenschutzerklärung behauptet, sie würden keine personenbezogenen Daten sammeln oder diese vor der Speicherung »anonymisieren«, so sieht die Realität oftmals wohl ganz anders aus. Letztendlich müssen wir uns immer und immer wieder von neuem die Frage stellen: Wem oder was vertrauen wir eigentlich? Dem Web of Trust bzw. WOT-Addon vermutlich nicht mehr.

WOT-Addon: Wie ein Browser-Addon seine Nutzer ausspäht August 30th, 2018 Mike Kuketz

Über den Autor

Mein Name ist Mike Kuketz und ich schreibe diesen Blog, um sicherheits– und datenschutzrelevante Themen leichter verständlich und für jedermann zugänglich zu machen.

In meiner freiberuflichen Tätigkeit als Pentester (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche Schwachstellen in IT-Systemen, Webanwendungen und Apps. Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe. Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Süddeutsche Zeitung, etc.) vertreten.

Mehr Erfahren

Folge mir via

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:

Newsletter


Nach oben