Session-Replay: Beliebte Webseiten überwachen alle Tastatureingaben

482 der 50.000 am häufigsten besuchten Websites bringen Session-Replay zum Einsatz, das Tastatureingaben und Mausbewegungen ihrer Nutzer aufzeichnet.

Session-Replay: Beliebte Webseiten überwachen alle Tastatureingaben
Grafik dominickide, thx! (CC0 1.0 PD)

Forscher vom Centre for Information Technology Policy (CTIP) an der Princeton Universität haben im Rahmen einer aktuellen Studie herausgefunden, dass mindestens 482 der weltweit 50.000 beliebtesten Webseiten sogenannte Session-Replay – Skripte verwenden, die sowohl dazu dienen, Mausbewegungen und Scrollverhalten der Nutzer aufzuzeichnen, als auch sämtliche Tastatureingaben auf der Webseite in Echtzeit zu erfassen, berichtet „Motherboard“.

Session-Replay überwacht jeden Tastendruck der Nutzer

Für ihre Studie hat sich ein Team von Sicherheitsexperten, Steve Englehardt, Gunes Acar und Arvind Narayanan, auf sieben der populärsten Session-Replay-Anbieter konzentriert, darunter FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar und Russlands beliebteste Suchmaschine Yandex. Sie erstellten Testseiten und installierten Session-Replay-Skripte von sechs der sieben Unternehmen. Ihre Ergebnisse zeigten, dass mindestens eines dieser Skripte von 482 der weltweit 50.000 besten Websites gemäß Alexa-Ranking, verwendet wird.


Beunruhigend dabei ist, dass die Replay-Skripte gerade auch solche sensible Informationen, wie Kreditkarten-Daten, Passwörter oder Gesundheitsinformationen sammeln und an die Anbieter von „Session Replay“-Software übermitteln. Letztlich verhalten sich die Seiten wie ein Keylogger, der alle Eingaben des Nutzers speichert. Einige der Unternehmen, die diese Software anbieten, wie FullStory, entwerfen Verfolgungsskripte, die es den Websitebesitzern sogar erlauben, die erfassten Aufzeichnungen mit der tatsächlichen Identität eines Benutzers zu verknüpfen.

Skript kann alle Daten anzapfen

Im Backend sehen Unternehmen, dass ein Benutzer mit einer ihm zugeordneten E-Mail oder einem bestimmten Namen verbunden ist. Das Skript könnte sensible Daten sogar auch dann erfassen, wenn man sie gar nicht abgeschickt hat. Zudem werden diese Skripte üblicherweise von Drittanbietern geliefert, denen so auch direkter Zugriff auf die Daten ermöglicht wird. Die Forscher stellen die Rechtmäßigkeit der Datensammlung ohne Einwilligung der Nutzer in Frage.

Die Sicherheitsexperten veröffentlichten eine Liste von Websites, die Scripts von Anbietern der „Session Replay“-Software zum Einsatz bringen, jedoch weisen sie darauf hin, dass dies nicht notwendigerweise bedeutet, dass Daten von den aufgeführten Seiten auch real aufgezeichnet und an die Drittanbieter übermittelt werden, oftmals werden Session-Replay-Skripte einfach nur zu Analyse- und Debugging-Zwecken genutzt. Auch die einzelnen Möglichkeiten der Skripte weichen stark voneinander ab. Der russische Tech-Konzern und Suchmaschinenanbieter Yandex benutzt ein Skript, das von Haus aus wirklich alle eingegebenen Daten mitschneidet. Das besagte Skript befindet sich zudem auf vielen anderen Webseiten – womit die Informationen wieder zu Yandex gelangen. Allerdings, so betonen die Forscher, erfolgt die Datenübertragung zum Teil unverschlüsselt und eröffnet den Weg für Man-in-the-Middle-Angriffe.

Fast 500 Websites setzen Session-Replay ein

Das Sicherheitsteam informiert, dass die von ihnen gefundene Anzahl der 482 Webseiten, auf denen Session Replay im Einsatz ist. Dies stelle das absolute Minimum an betroffenen Webseiten dar, da solche Skripte nicht immer einfach aufzuspüren sind. Eine Vielzahl von Seiten weist nach Angaben der Sicherheitsspezialisten Anzeichen für Session-Replay-Skripte auf, wobei zu den Betreibern auch viele namhafte Unternehmen gehören. Als Beispiele nannten sie die Websites von HP, Intel, Lenovo, Norton und Opera, des Pay-TV-Senders Sky, Samsung, Reuters, des britischen „Telegraph“ sowie die von Russland aus betriebene Nachrichtenseite „Sputniknews“. Ebenso soll bei dem russischen Facebook-Pendant VK.com Session-Replay zum Einsatz kommen. Zu den Websites gehören auch von deutschen Nutzern oftmals besuchte Webauftritte, wie die von Adobe, WordPress, Microsoft, Spotify, Skype, Evernote oder IBM.

Erste Anbieter haben das Skript bereits entfernt

Seit die Princeton-Forscher ihre Studie veröffentlicht haben, reagierten einige der solcherart kritisierten Seitenbetreiber bereits. Demnach hat der Bekleidungshersteller Bonobos ein Skript (Session-Replay) von seinen Seiten entfernt. Dieses hat die vollständigen Kreditkartendaten der Nutzer erfasst und an den Skript-Anbieter FullStory weitergegeben. Die US-Drogeriekette Walgreens gab ebenso an, nun keine Daten mehr an den Session-Replay-Anbieter Full Story weiterzureichen. Zuvor sammelte man die Details zu Medikamentenverschreibungen und Krankheiten der Kunden. In Videos war zu sehen, was ein Session-Replay-Skript der Firma FullStory aufnehmen kann.

Tarnkappe.info

Über den Autor

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.