Criteo misbruikte HSTS-beveiliging om Safari-gebruikers te volgen

[Captain Kirk]

Advertentiebedrijf Criteo heeft een belangrijke beveiligingsmaatregel genaamd HSTS misbruikt om Safari-gebruikers op het internet te volgen. HSTS staat voor HTTP Strict Transport Security en zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.

De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Criteo gebruikte HSTS om data in de browsercache van de gebruiker te krijgen waarmee een unieke identifier werd geproduceerd. Via deze identifier is het mogelijk om Safari-gebruikers te herkennen en ze vervolgens te profileren.

De techniek werkt mede omdat HSTS-data lastig in Safari is te verwijderen, aldus de Amerikaanse burgerrechtenbeweging EFF. De gebruiker moet namelijk de gehele cache legen om de identifier te verwijderen. Begin deze maand heeft Apple echter een update voor iOS en Safari uitgebracht die het misbruik van HSTS op deze manier voorkomt. Het is niet de eerste keer dat Apple dit jaar de dubieuze praktijken van Criteo dwarsboomt.

Safari blokkeert standaard cookies van derde partijen. Alleen de website die de gebruiker bezoekt mag een cookie plaatsen. Advertentiebedrijven zoals Criteo kunnen alleen zogeheten third-party cookies plaatsen, omdat de gebruiker niet direct hun domein bezoekt. Bij Safari kunnen advertentiebedrijven daardoor geen cookies plaatsen. Criteo vond echter een manier waarbij het Safari-gebruikers onzichtbaar naar Criteo.com leidde en vervolgens zo alsnog een cookie kon plaatsen.

Deze zomer kwam Apple echter met een update voor Safari die de browser van Intelligent Tracking Prevention (ITP) voorziet. ITP zorgt ervoor dat onzichtbare redirects, zoals Criteo gebruikte, niet meer voldoende zijn voor het plaatsen van een cookie. Daarop kwam het advertentiebedrijf met de HSTS-methode, die inmiddels ook niet meer werkt. De EFF maakt zich echter zorgen dat Criteo onderdeel van het Acceptable Ads initiatief is. Dit initiatief is bedacht door het bedrijf achter AdBlock Plus, de populairste adblocker op internet. Advertentiebedrijven betalen Adblock Plus zodat hun advertenties standaard niet worden geblokkeerd. Ook advertenties van Criteo worden zodoende toegestaan.

Gebruikers kunnen deze advertenties wel blokkeren, maar moeten hiervoor de instellingen aanpassen. Slechts 5 tot 10 procent van de gebruikers verandert echter de standaardinstellingen van de software die ze gebruiken. "Het feit dat het Acceptable Ads initiatief het volgen van gebruikers via de HSTS-beveiligingsmaatregel door Criteo goedkeurde is indicatief voor de privacyproblemen die zich in de kern van het Acceptable Ads-programma bevinden", aldus de EFF. De organisatie roept dan ook om geen advertenties goed te keuren die misbruik van beveiligingsmaatregelen maken om gebruikers te volgen.

 

 

 

bron: security.nl