Fingerprinting im Browser auch ohne JavaScript

Photo by George Prentzas on Unsplash

Eine neue Seitenkanalattacke soll es Angreifern erlauben, Tracking per Fingerprinting im Browser auch dann zu erfolgreich zu betreiben, wenn die Verwendung von JavaScript untersagt ist. Das berichten Forscher der Cornell University, die dieses Angriffsszenario entwickelt haben. Der komplette Report ist als PDF verfügbar.

Viele Prozessoren anfällig

Anfällig für diese neue Tracking-Attacke sind die Hardware-Architekturen Intel Core, AMD Ryzen, Apple M1 sowie Samsung Exynos, die einen Großteil der heute verwendeten CPUs abdecken. Überraschenderweise kamen die Forscher zu dem Schluss, dass ihre Angriffe aufgrund der einfacheren Cache-Austauschrichtlinien auf den M1- und Exynos-Chips effektiver waren als auf den anderen Plattformen. Die Attacke ist ausschließlich auf HTML und CSS aufgebaut und ist somit nicht auf JavaScript angewiesen. Dabei sollen sogar Sicherheitsfunktionen wie VPN und das Tor-Netzwerk keinen absoluten Schutz bieten.

Kein JavaScript nötig

Die Forscher hatten zunächst versucht, die JavaScript-Funktionen zu identifizieren, die für die Durchführung eines solchen Cache-basierten Angriffs wesentlich sind. Dann entwickelten sie eine Reihe von Angriffen mit progressiv abnehmender Abhängigkeit von JavaScript-Funktionen, bis sie schließlich bei reinem HTML/CSS anlangten. Damit werden auch Maßnahmen der Browser-Hersteller wie die Verhinderung der exakten Zeitmessung, die bei JavaScript-basierten Seitenkanalattacken unerlässlich ist, obsolet.

Hauptsächlich mit Chrome getestet

Als Einschränkung erwähnen die Forscher, dass sie ihre Angriffe auf allen Plattformen hauptsächlich mit Googles Chrome Browser durchgeführt haben und die Verwendung anderer Browser vermutlich abweichende Ergebnisse zeigen würde. Die Prozessorhersteller sind von den Forschern über den neuen Angriffsvektor informiert worden. Die reale Gefahr dieser Entdeckung ist relativ gering, da solche Cache-Timing-Attacken in etwa den gleichen Schwierigkeitsgrad aufweisen wie die ebenfalls timing-sensitiven Spectre-Attacken auf Intel-CPUs. Für den Bereich des Home-Computings sind hier keine Angriffe zu erwarten.

4 3 votes
Article Rating

Verwandte Themen

4 3 votes
Article Rating
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments