[Veiligheidskennis] Supercookies kunnen de privacymodus doorbreken en toch gebruikersinformatie bijhouden

Momenteel bieden alle grote browsers een privacybeschermingsmodus. In deze modus kunnen websitecookies de identiteit van de gebruiker niet traceren. Google Chrome biedt bijvoorbeeld een functie genaamd "Incognito", terwijl Firefox een functie "Privacy Window" biedt.

Deze nieuw ontdekte kwetsbaarheid zal echter ervoor zorgen dat de privacymodus van de browser faalt. Wanneer een gebruiker bijvoorbeeld een normale browser gebruikt, winkelt op Amazon.com of Facebook bekijkt, kan de gebruiker een privacyvenster openen om een blog met controversiële inhoud te bekijken. Als de blog hetzelfde advertentienetwerk gebruikt als Amazon of Facebooks "Vind ik leuk"-knop integreert, kunnen adverteerders en Facebook weten dat gebruikers de controversiële blog tegelijkertijd bezoeken als Amazon en Facebook.

Er is een tijdelijke oplossing voor deze kwetsbaarheid, maar die is omslachtig: gebruikers kunnen alle cookies verwijderen voordat ze de privacymodus activeren, of een speciale browser gebruiken om volledig in privacymodus te browsen.

Ironisch genoeg wordt deze kwetsbaarheid veroorzaakt door een functie die bedoeld is om de privacybescherming te verbeteren.

Als een gebruiker een prefix https:// in de adresbalk van de browser gebruikt om communicatie van bepaalde websites te versleutelen, zullen sommige browsers dit onthouden. De browser slaat een "super cookie" op om ervoor te zorgen dat de volgende keer dat de gebruiker verbinding maakt met de website, de browser automatisch het https-kanaal invoert. Dit geheugen blijft bestaan, zelfs als de gebruiker de privacymodus heeft ingeschakeld.

Tegelijkertijd stellen zulke supercookies ook derdepartij-webprogramma's, zoals advertenties en sociale mediaknoppen, in staat de gebruiker te onthouden.

Sam Greenhelgh, de onafhankelijke onderzoeker die de kwetsbaarheid ontdekte, zei in een blogpost dat deze functie nog niet door een bedrijf wordt gebruikt. Echter, nadat deze methode openbaar werd gemaakt, was er geen manier meer om bedrijven te stoppen dit te doen.

Eugene Kuznetsov, medeoprichter van het online privacysoftwarebedrijf Abine, gelooft dat deze "supercookie" de volgende generatie trackingtools zal worden. Dit hulpmiddel is ontstaan uit cookies, maar het werd geavanceerder. Momenteel hebben gebruikers tijdens het browsen altijd een unieke apparaatidentificatie en een unieke browservingerafdruk, die moeilijk te wissen zijn.

Internetanonimiteit is moeilijker geworden door het bestaan van "supercookies". Kuznetsov zei: "We hebben een wapenwedloop gezien op het gebied van privacybescherming. De wens om internetgebruikers te volgen is als een parasiet. Alles wat in je browser zit, wordt door websites en adverteerders gecontroleerd, waardoor er meer tracking mogelijk is. ”

Mozilla heeft dit al opgelost in de nieuwste versie van Firefox, terwijl Google Chrome meestal zo laat. Google kent het probleem met "super cookies" al, maar kiest er toch voor om de https-geheugenfunctie van Chrome in te schakelen. Tussen beveiliging en privacybescherming heeft Google voor het eerste gekozen.

Microsoft Internet Explorer heeft dit probleem niet, omdat deze browser geen ingebouwde https-geheugenfunctie heeft.

Greenhal zei ook dat op iOS-apparaten het probleem veroorzaakt door "super cookies" ook bestaat.