Session-Replay: Beliebte Webseiten überwachen Tastatureingaben ihrer Nutzer

Article by · 22. November 2017 ·

Forscher vom Centre for Information Technology Policy (CTIP) an der Princeton Universität haben im Rahmen einer aktuellen Studie herausgefunden, dass mindestens 482 der weltweit 50.000 beliebtesten Webseiten sogenannte „Session Replay“-Skripte verwenden, die sowohl dazu dienen, Mausbewegungen und Scrollverhalten der Nutzer aufzuzeichnen, als auch sämtliche Tastatureingaben auf der Webseite in Echtzeit zu erfassen, berichtet „Motherboard“.

Für ihre Studie hat sich ein Team von Sicherheitsexperten, Steve Englehardt, Gunes Acar und Arvind Narayanan, auf sieben der populärsten Session-Replay-Anbieter konzentriert, darunter FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar und Russlands beliebteste Suchmaschine Yandex. Sie erstellten Testseiten und installierten Session-Replay-Skripte von sechs der sieben Unternehmen. Ihre Ergebnisse zeigten, dass mindestens eines dieser Skripte von 482 der weltweit 50.000 besten Websites gemäß Alexa-Ranking, verwendet wird.

Beunruhigend dabei ist, dass die Replay-Skripte gerade auch solche sensible Informationen, wie Kreditkarten-Daten, Passwörter oder Gesundheitsinformationen sammeln und an die Anbieter von „Session Replay“-Software übermitteln. Letztlich verhalten sich die Seiten wie ein Keylogger, der alle Eingaben des Nutzers speichert. Einige der Unternehmen, die diese Software anbieten, wie FullStory, entwerfen Verfolgungsskripte, die es den Websitebesitzern sogar erlauben, die erfassten Aufzeichnungen mit der tatsächlichen Identität eines Benutzers zu verknüpfen. Im Backend sehen Unternehmen, dass ein Benutzer mit einer ihm zugeordneten E-Mail oder einem bestimmten Namen verbunden ist. Es könnten sensible Daten sogar auch dann erfasst werden, wenn sie gar nicht abgeschickt wurden. Zudem werden diese Skripte üblicherweise von Drittanbietern geliefert, denen so auch direkter Zugriff auf die Daten ermöglicht wird. Die Forscher stellen die Rechtmäßigkeit der Datensammlung ohne Einwilligung der Nutzer in Frage.

Die Sicherheitsexperten veröffentlichten eine Liste von Websites, die Scripts von Anbietern der „Session Replay“-Software zum Einsatz bringen, jedoch weisen sie darauf hin, dass dies nicht notwendigerweise bedeutet, dass Daten von den aufgeführten Seiten auch real aufgezeichnet und an die Drittanbieter übermittelt werden, oftmals werden Session-Replay-Skripte einfach nur zu Analyse- und Debugging-Zwecken genutzt. Auch die einzelnen Möglichkeiten der Skripte weichen stark voneinander ab. Der russische Tech-Konzern und Suchmaschinenanbieter Yandex benutzt ein Skript, das von Haus aus wirklich alle eingegebenen Daten mitschneidet. Das besagte Skript befindet sich zudem auf vielen anderen Webseiten – womit die Informationen wieder zu Yandex gelangen. Allerdings, so betonen die Forscher, erfolgt die Datenübertragung zum Teil unverschlüsselt und eröffnet den Weg für Man-in-the-Middle-Angriffe.

Das Sicherheitsteam informiert, dass die von ihnen gefundene Anzahl der 482 Webseiten, auf denen Session Replay im Einsatz ist, das absolute Minimum an betroffenen Webseiten darstelle, da solche Skripte nicht immer einfach aufzuspüren sind. Eine Vielzahl von Seiten weist nach Angaben der Sicherheitsspezialisten Anzeichen für Session-Replay-Skripte auf, wobei zu den Betreibern auch viele namhafte Unternehmen gehören. Als Beispiele nannten sie die Websites von HP, Intel, Lenovo, Norton und Opera, des Pay-TV-Senders Sky, Samsung, Reuters, des britischen „Telegraph“ sowie die von Russland aus betriebene Nachrichtenseite „Sputniknews“. Ebenso soll bei dem russischen Facebook-Pendant VK.com Session-Replay zum Einsatz kommen. Zu den Websites gehören auch von deutschen Nutzern oftmals besuchte Webauftritte, wie die von Adobe, WordPress, Microsoft, Spotify, Skype, Evernote oder IBM.

Seit die Princeton-Forscher ihre Studie veröffentlicht haben, reagierten einige der solcherart kritisierten Seitenbetreiber bereits. Demnach hat der Bekleidungshersteller Bonobos ein Skript von seinen Seiten entfernt, das die vollständigen Kreditkartendaten der Nutzer erfasst und an den Skript-Anbieter FullStory weitergegeben hatte. Die US-Drogeriekette Walgreens gab ebenso an, nun keine Daten mehr an den Session-Replay-Anbieter Full Story weiterzureichen, wie bisher üblich, die Details zu Medikamentenverschreibungen und Krankheiten der Kunden.

Im folgenden Video ist zu sehen, was ein Session-Replay-Skript der Firma FullStory aufnehmen kann:

Bildquelle: dominickide, thx! (CC0 Public Domain)

Mehr zu diesem Thema:

3 Comments

  • comment-avatar

    Die_Bewunderer


    Aha aha, so so hmmm…?! Die seriöse Uni Princeton, in ihren unermüdlichen und selbstlosen Einsatz für das Gute in der Welt, knallt uns hier ihre Mocca-Liste vor den Latz. Danke Krass ! 9975 der 9996 gelisteten Domains loggen demnach Kennwörter für yandex. Das wurde von Princeton´s hochkarätigen Proof-Wissenschaftler „handencoded“ bewiesen!
    Seriös und neutral wie eine Edelnutte aus New Jersey wird yandex nicht an den Pranger gestellt, sondern taucht eben nur in der Liste auf, wenn man diese sorgfältig studiert. Hab gleich *.princeton.edu und *.freedom-to-tinker.com in die Filterlisten hinzugefügt. Seit 15:20 Uhr ist die Welt spürbar sicherrer.

  • comment-avatar

    anon


    Viel Spaß beim Shoppen mit teils geblocktem JS! Bei Ebay ist das eine Freude.

  • comment-avatar

    Java Binks


    { NoScript / uMatrix } ( Add-Ons )
    – Blocken Scripte ( Wie man es aus dem Namen ( 1 ) entnehmen kann )

    Sind essenziell für sichereres surfen.


Leave a comment