Pornosite achterhaalt surfhistorie met exploit
Gepubliceerd: Maandag 6 december 2010
Auteur: René Schoemaker
YouPorn en 45 andere websites gebruiken een 10-jaar oud lek in webbrowsers om het surfgedrag van bezoekers in kaart te brengen. Daarbij gebruiken ze het JavaScript om sporen uit te wissen.
Het lek zit in alle browsers, behalve Safari dat eerder dit jaar gerepareerd is. Ook Chrome is gepatcht. In de nieuwste betaversies van Firefox en Internet Explorer is de kwetsbaarheid eveneens verholpen, maar de officiële versies staan nog wijd open.
Hoewel het gat allang bekend is, was het nog niet duidelijk of het werkelijk werd gebruikt. Onderzoekers hebben nu achterhaald dat een flink aantal websites het gat actief gebruiken om te achterhalen waar bezoekers in het verleden zijn geweest. YouPorn, de pornovariant van YouTube, gebruikt JavaScript om te achterhalen of bezoekers eerder zijn geweest bij PornHub.com en 22 andere websites.
Ook voor phising
Volgens de onderzoekers van de University of California zou het gat ook door criminelen kunnen worden gebruikt, om er achter te komen welke gebruiker welke online bank bezoekt, waarna ze gerichter namaaksites op kunnen zetten voor phishingaanvallen. Er is overigens nog geen concreet bewijs gevonden dat dit ook daadwerkelijk gebeurt.
De uitbuiting van het browsergat wordt niet alleen gedaan door obscure sites. Onder de 46 websites die het doen, bevinden zich ook nieuwssites als charter.net en newsmax.com en de financiële nieuwssite morningstar.com. In totaal werden 50.000 sites bezocht door de onderzoekers van de Universiteit van California, die een eigen versie van Chrome hadden gemaakt waarin het gebruik van JavaScript kan worden afgevangen en gereproduceerd.
CSS wordt misbruikt
Het gat in de browsers wordt gebruikt via een JavaScript dat cascading style sheets uitleest en daarin de code volgt die zorgt dat bezochte links in het paars worden aangegeven in plaats van het "maagdelijke" blauw. Door het volgen van die code is na te gaan bij welke sites die onlangs actief is geweest. Ontwikkelaars weten al zo'n tien jaar van dit hiaat, maar hebben altijd gezegd dat reparatie ervan leidt tot het verdwijnen van de hele functionaliteit van de code.
De onderzoekers vonden overigens ook minder kwaadaardig gebruik van het gat. Zo blijken Microsoft, YouTube, Yahoo en About.com code te gebruiken die het gebruik van de muis op websites volgt om na te gaan wat de gebruiker doet.
