CNAME-Cloaking: neue Tracking-Methode trickst Adblocker aus

CNAME-Cloaking wird aktuell immer öfter dazu verwendet, um uns bekannte Drittanbieter-Tracker und Werbung unter zu jubeln.

CNAME-Cloaking Tracking neu erfunden

Der Kampf gegen aufdringliche Werbung und nerviges Nutzer-Tracking geht in eine neue Runde. CNAME-Cloaking wird aktuell immer öfter dazu verwendet, um uns bekannte Drittanbieter-Tracker und Werbung unter zu jubeln. Viele Browser-Erweiterungen und auch Browser sind momentan machtlos dagegen. Aber gibt es wirklich nichts was wir dagegen tun können?

CNAME-Cloaking: ein cleverer und neuer Trick

Warum lassen Adblocker und Browser, wie z.B. AdBlockAdblock PlusuBlock OriginGhosteryBrave und Firefox plötzlich, ungehindert einen Drittanbieter-Tracker wie von Eulerian, einem führenden Tracking-Unternehmen, seine Scripts auf Webseiten ausführen?


NIchts Hören, nix sehen, nix sagenCNAME-Cloaking ist ein cleverer neuer Trick, um Adblocker Browser-Addons und auch, den in vielen Browsern schon eingebauten Tracking-Schutz bzw. Werbeblocker auszutricksen. Diese Browser-Addons und auch die meisten anderen Tracking- und Werbeblocker, arbeiten in der Regel mit sogenannten „Host Listen„. In diesen Listen, werden u.a. bekannte Domains von Tracking- und Werbe- Unternehmen zusammengefasst. Die Qualität eines guten Adblockers und Tracking-Schutzes, zeichnet sich dadurch aus, dass man diese Host-Listen immer aktuell hält. Entdeckt man neue Tracking-Cookies oder -Adressen, die Werbung ausliefern, so fügt man diese der Liste hinzu. So konnten uns die Adblocker bisher recht einfach und meist auch erfolgreich, gegen die meiste Werbung und freches Tracking schützen.

Tracking- und Werbe-Firmen, versuchen seit einiger Zeit mit CNAME (Canonical Name) ihre bei den Adblockern usw. bekannten Domains zu tarnen (Cloaking). In der Kurzfassung heißt das. Der Tracking- bzw. Werbe-Anbieter, bittet eine Website, einen neuen CNAME im Domain Name System (DNS), für bekannte Werbe-Domains wie z.B. www.ichbinwerbung.com hinzuzufügen. Damit bekommen Tracker, Werbung usw. immer wieder eine neue und zufällige auf DNS basierende neue Domain zugewiesen. Und genau da liegt jetzt das eigentliche Problem. Browsererweiterungen haben in der Regel keinen Zugriff auf die DNS-Ebene. Sie können also auch diese CNAMEs nicht erkennen. Dazu kommt, dass diese neuen und individuellen Domains ziemlich oft erneuert werden können. Die von den Werbeblockern bekannte und erfolgreich geblockte www.ichbinwerbung.com-Domain, kann sich jetzt also plötzlich hinter zehntausenden und immer wieder neu generierten CNAMEs verstecken. Dies ist eine fast nicht zu bewältigende Aufgabe für jeden Adblocker.

Was können wir zu unsem Schutz tun?

Der Kampf um unsere Privatsphäre im Netz geht in die nächste Runde. Eine Möglichkeit uns zu schützen, zeigt uns der Penetrationstester Mike Kuketz heute in seinem Blog. Sich schützen

Kuketz erklärt uns dort kurz, wann und wie uBlock Origin uns vor dem CNAME-Cloaking schützen kann:

  • Ihr müsst die aktuelle uBlock Beta installiert haben (mindestens 1.24.3b1)
  • Firefox 60+ muss als Browser genutzt werden (auf Chrome wird wohl derzeit kein Schutz möglich sein)
  • Der Parameter cnameAliasList muss innerhalb uBlock Origin aktiviert werden:
  • Aktivieren von I am an advanced user bzw. Ich bin ein erfahrener Anwender
  • Rechts neben Ich bin ein erfahrener Anwender auf das Zahnräder-Icon klicken
  • Uncloak von ALLEN Hostnamen, indem der Parameter von cnameAliasList von unset auf * gestellt wird

Für weitere Informationen, zur Implementierung von CNAME-Uncloaking in uBlock Origin verweist uns Kuketz auf uBlocks GitHub-Seite.

Man darf dabei aber nicht vergessen: das ist alles noch beta, also in der Testphase!!! Wir wissen also noch nicht so genau, wie sich diese Einstellungen auf die Performance unseres Internet-Browsers bzw. Rechners auswirken. Hier wäre es toll, wenn ihr uns entweder in unserem Tarnkappe Forum, fleißig über eure Erfahrungen berichtet. Oder wenn ihr möchtet, könnt ihr auch in unserer Tarnkappe Telegram Gruppe mit uns darüber diskutieren.

1&1 PrivatsphäreAlternative DNS-Anbieter wären auch eine Möglichkeit. NextDNS beispielsweise erklärt bei Medium.com, der erste alternative DNS-Anbieter zu sein, der erfolgreich CNAME-Cloaking blockieren kann. Auch hierzu möchten wir Euch bitten, fleißig Eure Erfahrungen mit uns zu teilen.

Foto DaniloFernando, thx!

Tarnkappe.info

Über den Autor

Sunny schreibt seit 2019 für die Tarnkappe. Dort verfasst er die Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Sharehoster. Aber auch in unserer monatlichen Glosse und bei den Interviews ist er immer wieder anzutreffen.