Load-tider kan få Facebook til at sladre om din alder og bopæl

Ved at udnytte, at du er logget ind på Facebook i browseren, kan en anden hjemmeside ved hjælp af Javascript få Facebook til at afsløre flere af dine profiloplysninger.

Svartider er ikke kun et spørgsmål om brugervenlighed eller ydelse. Det kan også være et sikkerhedsproblem, fordi svartiderne kan give et fingerpeg om, hvad systemet foretager sig.

Det er eksempelvis muligt via javascript på en hjemmeside at bruge svartider fra Facebook til at finde frem til oplysninger om brugeren, uden at hjemmesiden direkte skal spørge om adgang til brugerens profil.

Svartider kan nemlig bruges i timing attacks, hvor man måler på svartiden ved forskellige forespørgsler og derudfra kan gætte, hvad svaret er.

»Det svarer til, at du går på toilettet til en fest. Hvor lang tid du bruger på toilettet, kan give de andre gæster en god indikation af, om du har foretaget dig det ene eller det andet på toilettet,« lød den illustrative forklaring fra udvikler Mathias Bynes fra norske Opera på udviklerkonferencen Coldfront 2016.

I praksis kan information listes ud af Facebook, hvis brugeren er logget ind på Facebook i samme browser. En hjemmeside kan derefter via et script sende forespørgsler til Facebook og måle, hvor lang tid svaret er om at nå frem.

Det har sikkerhedseksperten Tom Van Goethem beskrevet i et blogindlæg om timing attacks.

Når man opretter en side på Facebook, så har man mulighed for at indsnævre den målgruppe, posts fra siden skal vises til. Man kan eksempelvis vælge, at siden kun skal være tilgængelig for bestemte aldersgrupper.

Det kan udnyttes til at finde frem til den alder, brugeren har angivet over for Facebook, uden brugeren opdager det eller giver hjemmesiden adgang til oplysningerne.

Facebook viser nemlig en fejlside, hvis en side ikke er tilgængelig for brugeren. Den er forholdsvis enkel sammenlignet med den fulde Facebook-side og kan derfor indlæses betydeligt hurtigere.

Scriptet kan derfor sende forespørgsler til forskellige sider, der hver især kun er tilgængelige for bestemte aldersintervaller.

Den side, der er længst tid om at svare, er den, der svarer til brugerens alder. Hvis man eksempelvis sender forespørgsler til sider, der kun kan ses af brugere, der er henholdsvis 15-20 år, 21-30 år og 30-40 år, og siden, der kun er tilgængelig for dem på mellem 30 og 40 år, er længst tid om at svare, så er det det interval, brugeren befinder sig i.

Det kan laves yderligere finkornet, og det hele kan ske med scripts, uden brugeren opdager det.

På den måde kan ejeren af en hjemmeside indsamle profiloplysninger på samme måde, som det normalt ville kræve en tilladelse fra brugeren på Facebook for at få adgang til.

Ny standard kan mindske risikoen

Tom Van Goethem har tidligere beskrevet webbaserede timing attacks i et paper, hvori det påpeges, at metoden ikke er ufejlbarlig, hvis der eksempelvis kun er små forskelle mellem størrelsen af de sider, man vil måle på, eller der er lokale forhindringer som eksempelvis en browser med mange åbne faneblade eller en ustabil netværksforbindelse.

Men teknikken, der gør Facebook-snageriet muligt, kan også bruges til mere ondsindede angreb, skrev Tom Van Goethem i et paper på årets Black Hat-sikkerhedskonference.

Det er ikke en enkel angrebsmåde, men man kan blandt andet udnytte, at data ofte komprimeres, og en algoritme som gzip vil komprimere gentagelser.

På den måde kan man ved hjælp af et timing attack, der bruger et cross-site request forgery-angreb til at kommunikere med en tjeneste, brugeren er logget ind på.

Problemet er kendt i sikkerhedskredse, men det er ikke ligetil at løse det. En metode, der er på vej til flere browsere er en ekstra cookie-parameter, der begrænser adgangen til en cookie yderligere, end det er tilfældet i dag.

»Den eneste løsning er samesite-cookies, men det understøttes lige nu kun i Chrome og Opera,« sagde Mathias Bynes.

Samesite er en ekstra parameter, som kan sættes til enten 'strict' eller 'lax'. Mathias Bynes anbefaler dog, at man bruger 'lax', da 'strict' kan have uønskede bivirkninger og eksempelvis give problemer med links.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Pilu Kasper Bech

Jo det gør der da men det kræver at brugeren har givet tilladelse. Eller du har købt data af Facebook - Facebook skulle jo nødigt komme til at give deres hårdt tjente data til 3. manden uden betaling og brugs betingelser ;)

Det ville jo ende med at 3. mand bare høster alle FB data og sælger dem videre billigere ende Facebook.

  • 2
  • 0
#4 Frithiof Andreas Jensen

Jep. FaceBook lever som (eller måske ikke) bekendt af at sälge data om brugerne. Derfor er det nemmere, bedre, hurtigere og smartere bare at hive kreditkortet frem hvis man vil vide noget om nogen.

... det kræver at brugeren har givet tilladelse ...

Ahem -

Brugeren giver tilladelse ved at anvende FaceBook. Hvis brugeren nu spiller smart og flipper nogle "privacy-settings" så flipper FaceBook dem natuligvis tilbage igen med näste opdatering. Brugeren skal anvende FaceBook for at ändre de nye indstillinger så der er automatisk givet tilladelse til at grabbe alt fra login til brugeren finder de nye "privacy-settings".

Et kaplöb mellem Mus / Keyboard imod masser af Intel Core I7. Hvem mon kommer först til data-krukken?

Derfor er det en rigtig god ide at lyve overfor "sociale" medier, så kan man i övrigt også lige checke hvem der egentligt kender ens födselsdag :).

  • 0
  • 1
Log ind eller Opret konto for at kommentere