Remote Maustracking per HTML und CSS

Beunruhigende Entdeckung: CSS-Anweisungen und ein unsichtbares Hintergrundbild in einer Webseite reichen aus, um remote die Mausbewegungen des Nutzers zu erfassen. Damit ließe sich ein Fingerprinting zur Verfolgung des Nutzers über Webseiten auch ohne JavaScript oder Cookies realisieren.


Anzeige

Ein Twitter-Nutzer hat in einer in einer Reihe von Tweets auf seine Erkenntnisse hingewiesen. Auch ohne JavaScript kann er über eine Webseite die Bewegungen des Mauszeigers verfolgen.

Er verwendet CSS :hover Selektoren, um versteckte Hintergrundbilder zu ändern, was zu einer GET-Anfrage führt. An Hand der Anfragen kann er dann die Position des Mauszeigers ermitteln. Das funktioniert auch im Tor-Browser mit deaktiviertem JavaScript. Der Twitter-Nutzer hat den Code auf GitHub als Proof of Concept (PoC) veröffentlicht. Bei Interesse, Bleeping Computer hat das Ganze in diesem Blog-Beitrag näher beschrieben.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Remote Maustracking per HTML und CSS

  1. ein-leser sagt:

    Und deswegen nutzt man uMatrix

    • RUTZ-AhA sagt:

      "Und deswegen nutzt man uMatrix"

      Da kann ich dir nur beipflichten.
      Wem es zu viel Mühe macht, sich mit seiner Sicherheit, Tracking und Datenklau zu befassen, dem ist nicht zu helfen.

      Wen es dann erwischt, der jammert das Internet voll und fleht um Hilfe. Die Foren sind voll davon.

      • Ralph D. Kärner sagt:

        Du solltest so fair sein und den "Standard"-Nutzer nicht mit Dir vergleichen. Du – und auch ich und viele andere hier – betrachten das Thema aus einem ganz anderen Blickwinkel als der Nutzer, der sein Gerät bei Mediamarkt kauft, nach Hause geht, das einschaltet und schon bei der Druckerinstallaiton Hilfe vom Nachbarsjungen braucht. Kurz: die Naivität in Bezug auf das Internet und der feste Glaube an die Tatsache, dass einem – gerade im Internet – niemand etwas böses will, ist unglaublich hoch in der Gesellschaft. Und das ist kein duetsches Phänomen.

        • RUTZ-AhA sagt:

          Mit deinem Statement bin ich einverstanden :-)
          Übrigens gibt es auch genügend Leute in der IT, für die einfachste Dinge unlösbare Probleme darstellen.
          Die haben sich bei mir Rat geholt, meine Funktion war Haustechniker und das genutzte Betriebssystem Linux.
          Es gibt erschreckend viele Menschen, die nie gelernt haben, sich selbst etwas zu erarbeiten.

  2. Steter Tropfen sagt:

    Was mir aber nicht ganz einleuchtet: Inwiefern kann man durch Erfassen der Mausbewegungen ein Fingerprinting vornehmen? Und das auch noch über mehrere Seiten hinweg – die müssten dann ja alle diese Methode anwenden.
    Wer gestikuliert denn beim Lesen von Internetseiten ständig unverwechselbar mit der Maus herum?

    Da bieten die meisten Browser doch viel direktere Möglichkeiten zum Fingerprinting.

    • ralf sagt:

      das mit dem fingerprinting kann ich anhand des textes auch nicht nachvollziehen.

      die aufzeichnung der mausposition waere bei meiner art der nutzung des browsers am desktop-pc jedoch schon so etwas wie "eye-tracking", da ich dort die angewohnheit habe, die mausposition meiner blickposition – zumindest im groben – folgen zu lassen. derlei daten koennen fuer marketinganalysen interessant sein: wohin blicken die leute, wann und wie lange?

      • RUTZ-AhA sagt:

        Menschen haben nun mal Angewohnheiten / Unarten / Marotten, allgemein wird das als Tick bezeichnet. Ist ja auch nicht schlimm.
        Aber ob derlei ausreicht, einen Nutzer einwandfrei wieder zu erkennen, möchte ich bezweifeln. Dafür gibt es genauere Methoden.

    • Günter Born sagt:

      Ich habe aktuell keinen Link – mir ist aber eine Studie in Erinnerung, wo Forscher anhand von Mausbewegungen Benutzer identifizieren konnten. Das ließe sich – möglicherweise mit anderen Kennwerten des Clients – für Fingerprinting benutzen.

      • RUTZ-AhA sagt:

        Schade Günter, das würde mich sehr interessieren, welche Technik oder Software derartiges ermöglicht, und wie das funktioniert.
        Ich habe eine ausgeprägte Vorstellungskraft, aber da muss ich passen. Bin ja auch kein Experte :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.