Bestimmte Anwendungen, die auch auf das Internet zugreifen, können benutzerdefinierte URL-Schemata anlegen, die der Browser dann nutzen kann. Kennen wir bspw. von Zoom, FeedbackHub, Steam und andere, die dann aus dem Browser heraus die App öffnet.
Jetzt wurde hier eine Schwachstelle gefunden, die es der Webseite ermöglicht, den Benutzer über verschiedene Browser auf dem Gerät zu verfolgen, indem die installierten Apps abgefragt werden. Das betrifft unter anderem den Google Chrome, Safari, Microsoft Edge und auch den Tor-Browser, der ja eigentlich für Anonymität sorgen soll.
Beim Tracking wird mithilfe des Scheme Flooding versucht über den URL-Handler die Eingabeaufforderung zu starten. Ist dies möglich, kann ein eindeutiges Profil angelegt werden. Somit kann eine Verfolgung stattfinden.
Sicherheitsforscher haben nun eine Möglichkeit entwickelt, um über die installierten Anwendungen auf verschiedenen Browsern zu testen, ob dies möglich ist, bzw. wäre. Das Ergebnis zeigt an, welche Apps installiert sind. Auf der GitHub-Seite ist ein Demo-Link über den ihr testen könnt, ob eine dieser Anwendungen installiert ist. Insgesamt werden 24 Anwendungen überprüft. Dabei kann es vorkommen, dass durch die gleiche Kombination von installierten Programmen eine identische Profil-ID für mehrere Benutzer ausgegeben wird.
Von den getesteten Browsern hat bisher nur der Google Chrome eine Abschwächungsmaßnahme in den Browser integriert, die aber wieder durch den Chrome PDF Viewer im Moment nutzlos wird. „Der eingebaute Chrome PDF Viewer ist eine Erweiterung, sodass jedes Mal, wenn der Browser eine PDF-Datei öffnet, das Schema Flood Protection Flag zurückgesetzt wird. Das Öffnen einer PDF-Datei vor dem Öffnen einer benutzerdefinierten URL macht den Exploit funktionsfähig“, erläutert Darutkin.
Microsoft und Google arbeiten derzeit an dem Problem. Mozilla hier.
Also am Handy funzt die Demo nix mit Via (Android system Webview) und Hermit. Da scheint die Lücke nicht zu greifen.
im Edge 90.0.818.62 hat er nur Skype und Steam gefunden. und das find ich nu nicht sooooo schlimm.
Wie kann Skype gefunden werden, wenn kein Skype installiert ist?!?
Du kannst du auch per PS Skype Deinstallieren.
Bei mir findet er im Firefox alle 24 von 24 Stück, obwohl ich genau nur 5 Stück aus der Liste nutze! Irgendwas mache ich richtig mit meiner about:config da die gewonnenen Daten absolut nutzlos sind.
Edit: Nur der MS Chromium Edge verrät mich.
15 verschiedene Durchläufe.
mit Firefox, InternetExplorer, Edge & TOR, dazwischen PC 3x neugestartet.
Cookies etc. gelöscht.
Am Schluß 15 verschiedene Ergebnisse.
Auch über Programme, die noch nie auf meinem PC waren.
Resümee: https://schemeflood.com/ ist eine völlig unnütze Seite, keinerlei Aussagekraft!
Das ist doch soweit ich das einschätzen kann erstmal nur eine Demo und ist damit auch noch nicht ganz Aussagekräftig!
Das ganze wird wohl über Javascript abgefragt, denn mit Aktivierung eines Scriptblockers ist die Seite leer.
Mit unterschiedlichen Browsern kommt kein Ergebnis, das nur annährend stimmen kann. In allen Fällen ist bei mir kein Programm/App installiert, das als Problemverursacher dort moniert wird.
Ich glaube eher, dass die Website selbst eine datensammelnde Stelle ist (warum?).