Nutzer ausspioniert

Sicherheitslücke offenbart besuchte Websites

Dutzende Websites haben heimlich von ihren Besuchern Daten über die zuvor aufgerufenen Internetadressen erfasst, wie ein Team von Computerwissenschaftlern jetzt herausgefunden hat. Die Informationen seien für verschiedenste Dienste interessant, beispielsweise Online-Shops, die ihre Preise anpassen können, wenn sie wissen, dass der Besucher von einem Shop kommt, der ein Produkt zu einem niedrigeren Preis anbietet.

Beim sogenannten "History sniffing" würden keine Passwörter abgefangen, die Technik eigne sich aber gut, um Nutzerprofile zu erstellen, wie die Experten der Universität von Kalifornien in San Diego erklärten. Notwendig seien nur wenige Zeilen Programmcode.

Die Forscher fanden 46 Websites, die diese Technik definitiv nutzten. In einigen Fällen war die Internet-Werbefirma Interclick verantwortlich, die den Einsatz dieser Technik aber inzwischen nach eigenen Angaben wieder eingestellt hat. Sie versicherte, Daten nicht gespeichert zu haben. Es sei ein achtmonatiges Experiment gewesen, das erfolglos abgebrochen worden sei.

Insgesamt untersuchten die Forscher 50.000 Websites weltweit. Viele hätten sich verdächtig verhalten, hieß es. Ein "History sniffing" sei nicht zu beweisen gewesen, bei fast 500 Sites sei es aber zu vermuten. Bekannt ist das Problem schon seit vielen Jahren. Die Browser-Hersteller hätten die Sicherheitslücke längst schließen sollen, erklärte Jeremiah Grossman von der Firma WhiteHat Security, die an der Studie beteiligt war.

Betroffen von der Sicherheitslücke sind die aktuellen Versionen der Browser Firefox und Internet Explorer, aber auch ältere Versionen von Chrome und Safari. Die neuesten Versionen von Googles Chrome und Apples Safari schützen automatisch davor. Beim Firefox wird es in der nächsten Version Standard sein. Beim Internet Explorer schützt laut Microsoft der Private-Browsing-Modus vor der Nutzerspionage.