Your Social Media Fingerprint - Wo bin ich eigentlich angemeldet?

RedakteurIn: Gerald Perfler
[ Bildrechte anzeigen ]

Wer im Internet surft, hinterlässt Spuren. Das ist den meisten wohl bekannt. Genauso dürfte den meisten bekannt sein, dass das Setzen eines Hakens bei "angemeldet bleiben" (oder in der Regel das Nichtentfernen dieses Hakens) eben bedeutet, dass man sich nicht von einer Seite abmeldet, auch wenn man in der Zwischenzeit schon längst auf einer anderen Seite weitersurft. Weniger bekannt sein dürfte aber, dass genau diese Informationen auch von Betreibern anderer Websites ausgelesen werden können. Und vermutlich so gut wie gar nicht bekannt sein dürfte, dass diesem Umstand eine Sicherheitslücke zu Grunde liegt.

Das Problem

Wer viele Dienste und Portale im Internet nutzt, meldet sich in der Regel bei diesen an, um den vollen Funktionsumfang nutzen zu können. Da es vielen dabei aber oft zu mühsam ist, sich jedes Mal wieder aufs Neue anzumelden, haben die Anbieter Funktionen wie "angemeldet bleiben" eingeführt. Das ist sehr bequem, denn man wird beim Verlassen der Seite nicht mehr automatisch abgemeldet. Kehrt man später wieder auf die entsprechende Seite zurück, muss man sich nicht wieder anmelden. Das ist eine feine Sache, hat aber zumindest datenschutztechnisch einen gravierenden Nachteil: Die Anmeldeinformationen, können unter Umständen auch von Anbietern anderer Websites ausgelesen werden. So weit so gut, aber woher soll man wissen, auf welchen Portalen und bei welchen Diensten man gerade angemeldet ist - vor allem, wenn man nicht bewusst auf das Abmelden verzichtet hat, sondern es ganz einfach vergessen hat?

Social Media Fingerprint

Genau da verspricht die Website von Robert Linus mit dem Titel Your Social Media Fingerprint Abhilfe zu verschaffen. Sie listet unter Ausnützung einer Sicherheitslücke alle Portale und Dienste auf, bei denen man aktuell angemeldet ist. Der Grund für die Erstellung dieser Seite ist aber eigentlich ein ganz anderer: Linus will vor allem die diversen Anbieter auf die bestehende Sicherheitslücke aufmerksam machen und diese zum Schließen derselben bringen. Sein Ansatz: Je mehr Leuten die Lücke bewusst wird, desto mehr verbreitet sich dieses Wissen und desto größer wird der Druck auf die Anbieter und die Lücke dann wohl letztendlich geschlossen werden.

Die Sicherheitslücke

Die Sicherheitslücke besteht direkt beim Login, besser gesagt beim Prozess der Umleitung im Rahmen einer Anmeldung. Eine solche Umleitung zur Anmeldung ist immer dann notwendig, wenn man auf eine Seite verlinkt wird, aber dort nicht (oder in der Zwischenzeit nicht mehr) eingeloggt ist. Im Rahmen dieses Vorgangs wird im Link auch die Adresse jener Seite angeführt, von der aus man zum Anmeldeportal weitergeleitet wurde, um nach erfolgter Anmeldung wieder zurückgeleitet werden zu können. Im Normalfall funktioniert dies nur für Seiten innerhalb derselben Domain (also deselben Webauftritts), es sei denn, es handelt sich um Bilder. Diese werden auch an andere Websites weitergeleitet. Um also zu erkennen, dass jemand an einer Website angemeldet ist, muss man nur in einem Weiterleitungslink auf ein Bild der entsprechenden Website verweisen. Jetzt speichern Anbieter ihre Bilder zwar zumeist getrennt ab, vergessen dabei aber doch oft eines, nämlich jenes des Icons. Und genau dieser Umstand wird ausgenützt. Die Website von Linus stellt eine Anfrage an die Seite des betreffenden Dienstes nach dem Icon. Ist der Benutzer eingeloggt, erhält Your Social Fingerprint das entsprechende Icon, ist der Benutzer nicht eingeloggt wird stattdessen die Adresse des Anmeldeportals gesendet. 

Die Gefahr

Es ist zwar fein, dass man anhand dieser Lücke erkennen kann, wo man angemeldet ist, aber diese Lücke kann auch als Einfallstor für weit Schlimmeres dienen, wie etwa Techniken zur Deanonymisierung, Clickjacking, Profilejacking oder Phishingattacken.

Die Lösung

Die einfachste Lösung wäre, wenn die entsprechende Lücke von den Anbietern geschlossen werden würde.  Wer nicht darauf warten will, kann  in den Browsereinstellungen Cookies von Drittanbietern unterbinden oder Browsererweiterungen installieren, die vor diversen Gefahren im Internet schützen (sollen).

Das Fazit

Es wäre wünschenswert, wenn die diversen Anbieter diese Lücke schließen würden. Da es sich aber um ein Problem der persönlichen Daten handelt und nicht die Angebote der Anbieter direkt davon betroffen sind, dürften die Chancen dafür recht gering sein. Es sei denn, Robert Linus kann mit seiner Website so große Erfolge erzielen und das Problem so vielen Menschen bewusst machen, dass die Anbieter nicht mehr daran vorbeikommen, die Lücke zu schließen.

Links:

Redaktionsbereiche
Datum: Di. 08.11.2016