Tracking-Skripte schöpfen Daten aus Passwortmanagern ab

Laut Forschern der Princeton University nutzt die neue Tracking-Methode der Werbeindustrie eine Schwachstelle im Zusammenhang mit der Autofill-Funktion aus. Die abgegriffenen Daten werden dazu verwendet, Nutzer ohne Einsatz von Cookies seitenübergreifend durchs Netz zu verfolgen.

Björn GreifRedakteur

Viele Internetnutzer löschen regelmäßig Cookies, wechseln immer wieder ihre IP-Adresse oder verwenden sogar VPN-Dienste, um online nicht mehr identifiziert und getrackt werden zu können. Doch selbst diese Maßnahmen bringen nicht zwingend den gewünschten Erfolg. Die Werbeindustrie entwickelt ständig neue Tracking-Methoden, um an für sie extrem wertvolle Daten zum Nutzungsverhalten zu kommen. Den Wunsch der User, unbeobachtet im Internet zu surfen, ignoriert sie dabei ganz bewusst. Denn je mehr die Werbeindustrie über die Nutzer weiß, desto mehr Geld kann sie verdienen.

Eine dieser neuartigen Tracking-Methoden haben jetzt Forscher der Princeton University analysiert. Ihnen zufolge nutzen in Websites eingebundene Tracking-Skripte eine Schwachstelle im Zusammenhang mit der Autofill-Funktion von Passwortmanagern aus, um Nutzer seitenübergreifend zu verfolgen. Passwortmanager sind in den meisten modernen Browsern bereits integriert oder als Erweiterung verfügbar. Sie vereinfachen die Verwaltung von Zugangsdaten, können aber auch Formularfelder auf Webseiten automatisch mit einmal hinterlegten Daten ausfüllen, was dem Nutzer lästige Tipperei erspart. Die Autofill-Funktion birgt jedoch Risiken, wie schon seit längerem bekannt ist und die Untersuchung der Princeton-Forscher erneut bestätigt.

Das neue Tracking-Verfahren funktioniert wie folgt:

  1. Ein Nutzer ruft eine Website auf, gibt seine Anmeldedaten in ein Formular ein und speichert diese im Passwortmanager. Auf der Anmeldeseite ist kein Drittanbieter-Tracker präsent.
  2. Der Nutzer öffnet auf derselben Website eine andere Seite, auf der Drittanbieter-Tracker aktiv sind. Ein Tracking-Skript fügt dann ein Anmeldeformular ein, das für den Nutzer nicht sichtbar ist.
  3. Der Passwortmanager füllt automatisch das unsichtbare Anmeldeformular mit den hinterlegten Daten aus.
  4. Das Tracking-Skript liest die Daten aus dem Formular aus und sendet sie in gehashter Form (also nicht im Klartext) an die Server des Tracker-Betreibers. Dieser kann den Nutzer anhand des Hashwerts im Netz verfolgen, der fortan als eindeutige User ID dient.
So kommen die Tracking-Skripte über die Autofill-Funktion des Passwortmanagers an die E-Mail-Adresse des Nutzers, deren Hash fortan als eindeutige User ID dient (Bild: Gunes Acar, Steven Englehardt, Arvind Narayanan).

Seitenübergreifendes Tracking ohne Cookies

Die Princeton-Forscher haben zwei Tracking-Skripte analysiert, welche die Autofill-Funktion von Passwortmanagern auf diese Weise missbrauchen, um persönlich identifizierbare Informationen (PII) auszulesen: AdThink und OnAudience. Die übermittelten Hashwerte ermöglichen es, Nutzer seitenübergreifend zu verfolgen – ganz ohne den Einsatz von Cookies.

Die beiden genannte Skripte konzentrieren sich den Forschern zufolge auf Nutzernamen respektive E-Mail-Adressen. Allerdings könnten andere auf dieselbe Weise ebenso gut Passwörter auslesen. Das war bei den 50.000 analysierten Websites jedoch nicht der Fall. Die Skripte AdThink und OnAudience fanden sich auf 1110 Seiten der laut Daten von Alexa 1 Million meistbesuchten Websites. In der Tracker-Rangliste von WhoTracks.me belegt OnAudience Platz 331. Der Tracker ist auch auf zahlreichen deutschen Websites aktiv, wie folgende Grafik zeigt:

Auf diesen deutschen Websites ist OnAudience aktiv (Bild: WhoTracks.me).

AdThink leitet die abgegriffenen Informationen sogar direkt an den Datenbroker Axciom weiter, der detaillierte Benutzerprofile erstellt und an Werbetreibende verkauft. Zwar bietet AudienceInsights, der Betreiber von AdThink, ein Opt-out an. Allerdings ist unklar, inwieweit der Wunsch des Nutzers, nicht an der Datensammlung teilzunehmen, wirklich akzeptiert wird.

Mit Cliqz bist du geschützt

Um auf Nummer sicher zu gehen, solltest du die Autofill-Funktion in deinem Browser deaktivieren oder gleich ein Anti-Tracking-Tool wie Ghostery oder den Cliqz Browser nutzen. Unser auf Künstlicher Intelligenz basierendes Anti-Tracking unterbindet zuverlässig die Übermittlung von PIIs an Drittanbieter-Tracker, was auch Hashes von E-Mail-Adressen oder Passwörtern einschließt. Damit bist du vor solchen Schnüffel-Skripten geschützt.

Der Cliqz Browser steht für Windows und macOS sowie für Android und iOS zum kostenlosen Download bereit. Ghosterys Anti-Tracking-Tool liegt als Gratis-Erweiterung für alle gängigen Browser – einschließlich Cliqz – vor.