{"id":270849,"date":"2022-07-24T00:33:00","date_gmt":"2022-07-23T22:33:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=270849"},"modified":"2022-09-20T08:43:39","modified_gmt":"2022-09-20T06:43:39","slug":"teamviewer-fingerprinting-ber-installierte-schriftart","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/07\/24\/teamviewer-fingerprinting-ber-installierte-schriftart\/","title":{"rendered":"TeamViewer: Fingerprinting über installierte Schriftart?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Benutzer, die den TeamViewer als Fernwartungssoftware verwenden und die Software unter dem Betriebssystem Windows installieren, sind im Web per Fingerprinting nach verfolgbar. Grund ist eine von der Software installierte Schriftart, wie Tarnkappe berichtet. Dem norwegischen Softwareentwickler Daniel Aleksandersen war das aufgefallen und er hat genauer hingeschaut. Erg\u00e4nzung:<\/strong> Stellungnahme der TeamViewer-Entwickler eingef\u00fcgt.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir diese Woche sowohl von Blog-Leser Michael V. per Mail zugegangen (danke daf\u00fcr), als auch auf Twitter durch folgenden Tweet<\/a> unter die Augen gekommen.<\/p>\n

\"Web-Fingerprinting<\/a><\/p>\n

Jemand hat nachgeschaut<\/h2>\n

Bei der Windows-Version von TeamViewer wird nach diesem Bericht<\/a> von tarnkappe.info eine obskure Schriftartendatei installiert, die nicht wirklich nutzbar ist. Die Schriftartendatei enth\u00e4lt keine wirklich gut lesbaren und sinnvollen Schriftzeichen – in obigem Tweet ist der Schriftzug Teamviewer <\/em>in dieser Schriftart dargestellt. Wenn eine solche Schriftart installiert wird, k\u00f6nnte man daher hellh\u00f6rig werden und mal genauer nachschauen. Genau dies hat der norwegische Softwareentwickler Daniel Aleksandersen getan und seine Erkenntnisse im Blog-Beitrag TeamViewer installs suspicious font only useful for web fingerprinting<\/a> ver\u00f6ffentlicht.<\/p>\n

Dass Software bei der Installation ihre eigenen Fonts (Schritartendateien) mitbringt, ist nichts ungew\u00f6hnliches. Microsoft Office, LibreOffice oder die Adobe Creative Suite installieren erg\u00e4nzende Schriftarten. Das macht in diesem Kontext auch Sinn, wenn die in den Fonts enthaltenen Schriftschnitte neue Darstellungsm\u00f6glichkeiten enthalten. Aber beim TeamViewer-Font ist das deutlich anders.<\/p>\n

Laut Aleksandersen enth\u00e4lt die Schriftartendatei lediglich die Zeichen, um TeamViewer gem\u00e4\u00df obigem Bild darzustellen. Dann finden sich noch die Ziffern 7 und 8. Die restlichen 24 Gro\u00dfbuchstaben des lateinischen Alphabets sind als Apostroph kodiert. Die enthaltenen Zeichen haben ein ziemlich einzigartiges und meist unleserliches Design. Es stellt sich sofort die Frage nach dem Grund? Aleksandersen schreibt dazu:<\/p>\n

Websites k\u00f6nnen die auf Ihrem Computer installierten Schriftarten erkennen. Die Erkennung von Schriftarten beruht auf Brute-Force-Tests. Eine Webseite erstellt ein verstecktes St\u00fcck Text und misst, wie breit es ist. Dann \u00e4ndert sie die Schriftart, z. B. in die TeamViewer-Schriftart, und pr\u00fcft, ob sich die Breite des Textes \u00e4ndert. Wenn dies der Fall ist, wei\u00df die Website, dass Sie diese Schriftart auf Ihrem Computer installiert haben – und damit auch die Software, die sie installiert hat.<\/p><\/blockquote>\n

Der Entwickler schreibt, dass die seltsamen und fast unleserlichen Proportionen der TeamViewer-Schriftart sich gut f\u00fcr Fingerpinting eignen und glaubt, das dies auch ihr eigentlicher Zweck ist. Es gebe keinen anderen Verwendungszweck f\u00fcr die Installation einer einzigartigen, nicht allgemein verwendbaren Schriftart zusammen mit einer Software, als das erm\u00f6glichen des browserbasierten Fingerprinting.<\/p>\n

Das TeamViewer-Clientprogramm l\u00e4dt die Schriftartdatei nicht, listet nicht alle installierten Schriftarten auf und verweist auch nicht direkt auf die Schriftartdatei, schreibt Aleksandersen. Laut dem Artikel wird die Schriftartdatei nur vom TeamViewer-Installationsprogramm und vom Deinstallationsprogramm referenziert. Die Mac- und Linux-Versionen enthalten die Schriftart nicht – nur in Windows kommt der Font mit. Das alles sind Belege, die Daniel Aleksandersen als Begr\u00fcndung des Zwecks \"Fingerprinting\" anf\u00fchrt.<\/p>\n

Mehr Details<\/h2>\n

Die aktuelle Version der Schriftart hei\u00dft TeamViewer15<\/em>. Die TeamViewer-Entwickler ver\u00f6ffentlichen eine neue Version der Schriftart mit jeder gr\u00f6\u00dferen \u00c4nderung der TeamViewer-Versionsnummer. Eine schnelle Abfrage auf GitHub durch Aleksandersen zeigt, dass viele Font-Fingerprinting-Bibliotheken Verweise auf die Font-Namen TeamViewer15, TeamViewer14 und TeamViewer13 enthalten.<\/p>\n

Auf Hacker news hat jemand in diesem Kommentar-Thread<\/a> einen Anwendungsfall f\u00fcr die Schriftart auf der TeamViewer-Website identifiziert und dokumentiert. Die Website pr\u00fcft das Vorhandensein der Schriftart (und damit, ob Nutzer die Software installiert haben), wenn diese einem speziellen Link zur Einladung zu einer Screen-Sharing-Sitzung folgen. Die Links werden verwendet, um andere einzuladen, sich mit dem Computer zu verbinden.<\/p>\n

Laut Aleksandersen erh\u00f6ht die Schriftart das Risiko von Phishing und Betrug, die auf TeamViewer-Kunden abzielen. Eine Website, die von Teamviewer-Nutzern unter Windows besucht wird, k\u00f6nnte abfragen, ob diese TeamViewer verwenden. Dann lie\u00dfen sich gezieltere Social-Engineering-Ansprachen formulieren, da bekannt ist, dass TeamViewer im Einsatz ist.<\/p>\n

Zu TeamViewer hatte ich ja zahlreiche Beitr\u00e4ge hier im Blog, die ich nachfolgend mal verlinke. Dabei sind auch Nachrichten \u00fcber den Verkauf des Produkts an Finanzinvestoren (TeamViewer: 'Stille' \u00dcbernahme durch Private Equity\u2013Fonds<\/a>). Mal abwarten, ob die Anfrage von Aleksandersen bei TeamViewer noch Klarheit \u00fcber die Geschichte bringt.<\/p>\n

Stellungnahme von TeamViewer<\/h2>\n

Erg\u00e4nzung: Als der Beitrag als Konserve zur Ver\u00f6ffentlichung am Sonntag, den 24. Juli, verfasst wurde, endete der Artikel von Daniel Aleksandersen noch damit, dass er bei TeamViewer um eine Stellungnahme angefragt habe (ich habe daher auf eine eigene Anfrage in G\u00f6ppingen verzichtet). Am 23. Juli hat Daniel im Laufe des Tages die folgende Antwort von Robert Haist, Chief Information Security Officer, TeamViewer, nachgetragen<\/a>.<\/p>\n

The TeamViewer font is used to implement a smooth user experience from web to the native client, e.g., when connecting via an invitation link, to offer an installation or initiate the connection directly. This has proven to be helpful to improve the user experience for all user groups; nevertheless, based on the raised concern, we have decided to review and change this approach within one of the next releases to prevent potential detection of a TeamViewer installation via the font.<\/p><\/blockquote>\n

Interessant ist, dass Robert Haist im Grunde die in Hacker News als Kommentar eingestellte Bebobachtung best\u00e4tigt – die nutzen Fingerprinting im Webclient zur Erkennung. Die Begr\u00fcndung lautet, dass man diese Technik nutzt, um beim Web-Client, der auf Grund eines Einladungslinks an einer Session teilnimmt, die Schritte (Verbindung oder Installation) besser abstimmen zu k\u00f6nnen. Ein verbessertes Benutzererlebnis wird da angef\u00fchrt. Die von Daniel Aleksandersen ge\u00e4u\u00dferten Bedenken, dass auch Dritte diese Technik missbrauchen k\u00f6nnten, wird aber von TeamViewer aufgegriffen. Gem\u00e4\u00df obiger Aussage haben die Entwickler beschlossen, den oben skizzierten Ansatz in einer der n\u00e4chsten Versionen des TeamViewer zu \u00fcberpr\u00fcfen und zu \u00e4ndern, um eine m\u00f6gliche Erkennung einer TeamViewer-Installation \u00fcber die Schriftart zu verhindern.<\/p>\n

Jetzt bleibt abzuwarten, ob und wann das passiert – k\u00f6nnte ein Fall von \"gut gedacht, aber schlecht gemacht\" sein. Hier geht mein Dank an Daniel Aleksandersen, der das Ganze offen gelegt hat.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nTeamviewer kauft Ubimax<\/a>
\nTeamViewer: 'Stille' \u00dcbernahme durch Private Equity\u2013Fonds<\/a>
\nTeamViewer: Sicherheitsl\u00fccke gef\u00e4hrdet Sessions<\/a>
\nTeamSpy Malware-Kampagne zielt erneut auf TeamViewer<\/a>
\nTeamviewer seit 2020 f\u00fcr private Nutzung nicht mehr kostenlos<\/a>
\nTeamviewer meldet f\u00e4lschlich kommerzielle Nutzung<\/a>
\nTeamviewer: Freigabe f\u00fcr Privatnutzung und St\u00f6rung<\/a>
\nTeamViewer integriert Microsoft Teams<\/a>
\nTeamViewer-Hack: Hatte APT41-Gruppe Zugriff auf Millionen Ger\u00e4te?<\/a>
\nCyber-Angriff auf TeamViewer, Chinesen im Verdacht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Benutzer, die den TeamViewer als Fernwartungssoftware verwenden und die Software unter dem Betriebssystem Windows installieren, sind im Web per Fingerprinting nach verfolgbar. Grund ist eine von der Software installierte Schriftart, wie Tarnkappe berichtet. Dem norwegischen Softwareentwickler Daniel Aleksandersen war das … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-270849","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=270849"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/270849\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=270849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=270849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=270849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}