Tracker missbrauchen Facebook Login zum Abschöpfen von Nutzerdaten

Princeton-Forscher haben mehrere Tracking-Skripte von Drittanbietern identifiziert, die das Anmeldeverfahren ausnutzen, um an Profilinformationen von Facebook-Nutzern zu kommen. Sie lesen unter anderem User-ID, E-Mail-Adresse und Nutzernamen aus.

(Icons by DinosoftLabs www.flaticons.com)

Björn GreifRedakteur

Sich mit seinem Facebook-, Twitter- oder Google-Konto bei einem Webdienst anzumelden, ist schnell und bequem. Mit einem Klick erhält man direkt Zugang, ohne erst alle seine Daten einzugeben und sich ein zusätzliches Passwort merken zu müssen. Doch diese Social-Login-Systeme bergen auch Gefahren. Beispielsweise kam Facebook Login bei der Quiz-App zum Einsatz, mit der die von Cambridge Analytica zur Wählerbeeinflussung im US-Wahlkampf missbrauchten Nutzerdaten gesammelt wurden. Forscher der Princeton University haben jetzt auf weitere Risiken hingewiesen: Neben den Webseiten, auf denen man sich anmeldet, erhalten unter Umständen auch darin eingebettete Drittanbieter-Tracker Zugriff auf die in den sozialen Netzen hinterlegten Nutzerdaten.

Drittanbieter-Tracker mit Erstanbieter-Zugriffsrechten

Bei ihrer Analyse haben sich die Forscher auf Facebook Login beschränkt, weil es das am häufigsten genutzte Anmeldeverfahren ist. Social-Login-Systeme anderer Anbieter dürften ihnen zufolge aber ebenso betroffen sein. Sie fanden insgesamt sieben Tracking-Skripte von Drittanbietern (Augur, Forter, Lytics, ntvk1.ru, OnAudience, ProPS, Tealium), die zum Zeitpunkt der Untersuchung über den eigentlich der Webseite vorbehaltenen First-Party-Zugang Facebook-Nutzerdaten sammelten. Meist erfassten sie die User-ID sowie teilweise zusätzliche Profilinformationen wie E-Mail-Adresse, Nutzername und Geschlecht. Die fraglichen Skripte waren auf 434 der nach Daten von Alexa eine Million meistbesuchten Websites aktiv.

Den Princeton-Forschern zufolge warten die in Webseiten eingebetteten Drittanbieter-Tracker darauf, bis sich ein Nutzer via Facebook Login auf der Seite einloggt. Mit der Anmeldung gewährt er der Website den Zugriff auf seine Facebook-Profildaten. Diesen Zugang nutzen die Tracker dann aus, um ihrerseits Daten von Facebook abzufragen, ohne dass der Nutzer darüber informiert wird und Facebook diese Abfrage nochmals prüft. Zu den abfragbaren Daten zählen die User-ID, die bei Facebook hinterlegte E-Mail-Adresse und andere „öffentliche“ Profilinformationen wie Name, Alter, Geschlecht oder Profilfoto. Somit kommen die Drittanbieter-Tracker an dieselben Facebook-Nutzerdaten wie die Website als Erstanbieter.

(Icons from the Noun Project: computer tower by Melvin, Female by SBTS, javascript file by Adnen Kadri, click by Aybige)

Bei den über die Facebook-Schnittstelle gesammelten User-IDs handelt es sich um sogenannte (App-)spezifische Nutzer-IDs, die einer bestimmten Website oder Anwendung zugeordnet sind. Dies soll eigentlich seiten- bzw. anwendungsübergreifendes Tracking verhindern. Allerdings lassen sich mittels der spezifischen Nutzer-ID relativ einfach die globale Facebook-ID, das Profilfoto und andere öffentliche Profilinfos abfragen. Diese Daten ermöglichen es schließlich, Nutzer zu identifizieren und über Websites sowie Geräte hinweg zu verfolgen.

Deanonymisierung von Nutzern via Facebook Login

Die Princeton-Forscher weisen noch auf ein weiteres Problem mit Facebook Login hin: Ein Drittanbieter-Tracker kann das Anmeldeverfahren mittels eines unsichtbaren iFrames, den das Tracking-Skript in eine Webseite injiziert, missbrauchen, um Daten von Facebook abzufragen und damit Nutzer zu deanonymisieren. Die Funktionsweise dieses Verfahrens erläutert folgende Grafik:

(Icons from the Noun Project: computer tower by Melvin, Female by SBTS, javascript file by Adnen Kadri, click by Aybige)

Als Beispiel für den Einsatz dieser Methode nennen die Forscher Bandsintown, das sowohl Betreiber einer Website rund ums Thema Musik als auch eines Werbetrackers ist. Via Facebook Login auf seiner Website besorgte sich Bandsintown zunächst die benötigten Authentifizierungstokens zur Abfrage von Facebook-Nutzerdaten. Sein auf vielen bekannten Songtext-Seiten eingebetteter Werbetracker fügte diesen Seiten dann einen unsichtbaren iFrame hinzu, der mittels der zuvor erhaltenen Tokens die Facebook-IDs von Nutzern abfragte. Anschließend leitete der iFrame die Nutzer-IDs an das Tracking-Skript weiter. Über diesen Umweg konnte Bandsintown Nutzer deanonymisieren und quer durchs Web verfolgen, um ihnen interessenbezogene Werbung anzuzeigen.

Fehlende Sicherheitsbeschränkungen für Tracker

Die Datenschutzforscher der Princeton University betonen, dass die unbeabsichtigte Weitergabe von Facebook-Daten an Dritte nicht auf einen Fehler im Login-Verfahren zurückzuführen sei. Die Ursache liege vielmehr darin, dass Website-Betreiber heutzutage meist nur unzureichende Sicherheitsbeschränkungen für Drittanbieter-Skripte implementierten.

Dennoch könnten Facebook und andere Social-Login-Anbieter einiges tun, um Missbrauch zu verhindern: Hilfreich wäre etwa, die Nutzung der Social-Login-Schnittstellen daraufhin zu prüfen, welche Parteien wo und wie auf Social-Login-Daten zugreifen. Facebook könnte zudem die Abfrage von Profilbildern und globalen Facebook-IDs über App-spezifische Nutzer-IDs unterbinden. Oder es könnte endlich sein vor knapp vier Jahren angekündigtes anonymes Anmeldeverfahren „Anonymous Login“ einführen, bei dem keine persönlichen Nutzerdaten weitergegeben werden.

Statt zu warten, bis Anbieter wie Facebook beim Datenschutz nachbessern, solltest du lieber selbst handeln, um dich besser vor der Ausspähung durch Tracker zu schützen. Ein probates Mittel sind Anti-Tracking-Tools wie Ghostery oder Cliqz, die kostenlos zum Download bereitstehen.


CLIQZ FÜR MOBILE