28 augustus 2018
Facebook bekroont KU Leuven-onderzoek met Internet Defense Prize
Populaire webbrowsers zoals Google Chrome, Microsoft Edge en Safari beschermen onvoldoende de privacy van hun gebruikers. Dat blijkt uit een grootschalige evaluatie die computerwetenschappers van de KU Leuven uitvoerden. Ze ontwikkelden daarvoor een eigen softwaresysteem dat test hoe veilig browsers omgaan met persoonlijke informatie die wordt opgeslagen in cookies. Het onderzoek is bekroond met de Internet Defense Prize van Facebook ter waarde van 100.000 dollar.
Als hackers de inhoud van bepaalde cookies achterhalen, dan kunnen ze toegang krijgen tot je medische of financiële gegevens.
Cookies zijn een belangrijk element in de werking van het moderne internet. Websites plaatsen deze kleine stukjes informatie op je computer, in de zogenoemde cookie jar van je browser. Bij een volgend bezoek kan de website deze informatie gemakkelijk oproepen. De cookies zorgen ervoor dat de gebruiker bijvoorbeeld automatisch kan inloggen op sociale media of dat zijn gebruikersnaam opgeslagen wordt voor online banking.
De cookies vergroten dus het gebruiksgemak, maar ze brengen ook veiligheidsrisico’s met zich mee. Omdat cookies vaak gebruikt worden voor authenticatie zijn ze interessante doelwitten voor aanvallers. Stel dat je als gebruiker terecht komt op een gehackte website, dan kan de aanvaller de browser forceren om een verzoek te versturen naar een specifieke doelwebsite. Dat kan je account voor sociale media of online banking zijn. Het verzoek naar deze geviseerde website bevat standaard alle cookies en op die manier kan de aanvaller zich voordoen als de ingelogde gebruiker.
Een ander misbruik via cookies is zogenaamde tracking. Advertentiebureaus bijvoorbeeld kunnen cookies plaatsen op de vele websites waar ze adverteren. Op die manier kunnen ze op de voet volgen welke websites een individuele gebruiker bezoekt. Aan de hand van het surfgedrag kan informatie verzameld worden die toelaat een gebruiker uniek te identificeren: een profiel wordt opgesteld en dat kan dan weer gebruikt worden om advertenties op maat te genereren.
Kwetsbare browsers
Ontwikkelaars zoals Apple, Google en Microsoft leveren grote inspanningen om hun browsers en de gebruikers ervan beter te beschermen tegen deze vormen van misbruik. Zo zijn er ook browseruitbreidingen waar miljoenen gebruikers een beroep op doen. Die uitbreidingen voorkomen in principe dat hun surfgedrag geobserveerd kan worden.
Computerwetenschappers Gertjan Franken en Tom Van Goethem, en professor Wouter Joosen onderzochten of deze technologieën wel degelijk voldoende bescherming bieden. Ze ontwikkelden een eigen softwaresysteem dat automatisch aanvallen uitvoert op de browsers en hun uitbreidingen. Uit die analyse bleek dat de beveiliging van vrijwel alle browsers te omzeilen is. De meeste kwetsbaarheden zijn intussen in samenwerking met de ontwikkelaars opgelost. Andere lekken vereisen verregaande aanpassingen van de browser en zullen meer tijd vergen.
Het KU Leuven-team stelde zijn bevindingen voor op het jaarlijkse USENIX Security Symposium in Baltimore (VS). Dat leverde hen een Distinguished Paper Award op die wordt toegekend door een internationaal panel van academische experts. Daarnaast ontvingen de wetenschappers de Internet Defense Prize. Met deze prijs, ter waarde van 100.000 dollar, wil Facebook onderzoek stimuleren dat een grote impact heeft op de veiligheid van miljoenen internetgebruikers. Het onderzoek naar de veiligheid van cookies past in de strategie van de DistriNet-onderzoeksgroep. Webbeveiliging is een kernthema en de bijkomende middelen worden aangewend om die onderzoeksactiviteit verder te versterken.
Meer informatie over het onderzoek: https://wholeftopenthecookiejar.eu/
