Session Replay: Beliebte Webseiten loggen alle Bewegungen des Nutzers mit

Als Sicherheits-Experten haben wir schon den Ruf weg, ein wenig paranoid zu sein, vor allem wenn wir uns im Internet bewegen. Hatten Sie noch nie das Gefühl, Sie werden beim Surfen im Internet irgendwie beobachtet?

Jetzt ist es raus, so haben neue Forschungsergebnisse eines Teams der Princeton University bewiesen, dass fast 500 der beliebtesten Webseiten (Top 50000 bei Alexa), sogenannte “Session Replay” -Skripte nutzen, die normalerweise Informationen zum Nutzungsverhalten liefern sollen. Stattdessen können diese Tools aber viel mehr, je nach Anbieter zeichnen diese z.B. alles auf, was der Nutzer auf der Webseite gerade so tut – Also eine Art Keylogger im Hintergrund.

Bild: freedom-to-tinker.com – Session-Replay in Aktion

Das beschränkt sich leider nicht auf nur auf Eingaben in vorgegebenen Formularen, die wir dem Webseitenbetreiber selbst zusenden. Nein, viel schlimmer, alle Tastenanschläge, Mausbewegungen, Scrollverhalten und Inhalte werden von diesen Tools aufgezeichnet, gespeichert und sind vor allem in Klartext nachvollziehbar. Dieses Tracking wird durch Skripte ermöglicht, die von Drittanbietern bzw. Trackingfirmen geliefert werden, darunter Russlands Yandex, FullStory (USA), Maltas Hotjar, UserReplay und SessionCam(GB), Smartlook aus Tschechien und Clicktale in Israel.

Webseiten, die solche Skripte verwenden: WordPress, Microsoft, Adobe, Outbrain, Spotify, RT.com, Faule Tomaten, Sears, Costco, Ancestry.com, The Gap, CBS.com, GoFundMe, CodeAcademy, FitBit, Kaspersky.com, und die US-Botschaft.

Der Benutzer bemerkt von der Aufzeichnung nichts! So können Standorte, persönliche Informationen, Kreditkartendaten, die in der Regel verschlüsselt versendet werden, in Klarschrift dargestellt werden.

Dieses Video zeigt die Co-BrowseFunktion eines Unternehmens, bei der der Publisher Nutzersitzungen live verfolgen kann.

Die eingesetzten Skripte sollen eigentlich zur Benutzerfreundlichkeit der Webseite beitragen bzw. durch erhobene Daten bestimmte Zielgruppen (Nutzungsverhalten) identifizieren, um neue Geschäfts- und Marketingstrategien zu ermöglichen. Problematisch an der Sache ist, dass einige Unternehmen sehr unterschiedlich mit den gesammelten (persönlichen) Daten umgehen bzw. Datenschutz eher ein Fremdwort ist.

Die Forscher warnen, das sich hier viele Möglichkeiten des Datenmißbrauchs auftun bzw. die gesammelten sensiblen Daten nicht ausreichend geschützt werden können.

UserReplay und SessionCam beispielsweise ersetzen die meisten Benutzereingaben automatisch durch eine entsprechende Maskierung in der Länge des Texts, während Hotjar nur Passwörter und Kreditkartennummern maskiert bzw. Yandex z.B. schließt nur Passwörter ausschießt.

Dass gesammelte Daten zur Verbesserung von Benutzergepflogenheiten genutzt werden, ist eine wichtige Aufgabe für die Unternehmen. Allerdings nicht auf Kosten der Privatsphäre des Benutzers. Tipp: Anwendern, die das Sammeln solcher Daten verhindern wollen, bleibt nur die Möglichkeit entsprechenden Skripte durch Einsatz von Skript-Blockern zu verhindern.

 

Video: freedom-to-tinker.com