User können mittels CSS in ihren E-Mails getrackt werden. Analog zu Nutzungsdaten im Web können Absender von Mails Daten erfassen und so Rückschlüsse auf das genutzte System ziehen. Das zeigt eine Untersuchung des CISPA Helmholtz-Zentrums für Informationssicherheit. So lassen sich in den Daten der Browser oder Mail-Client, das Betriebssystem und weitere installierte Programme erkennen. Auch die Systemsprache ist über das CSS-Tracking sichtbar.
Anzeige
Die Forscher untersuchten 21 E-Mail-Programme. Sie betrachteten Desktop- und Web-Clients sowie Apps für Android und iOS. Mit unterschiedlichen Techniken versuchten sie, über das CSS Daten zu erhalten. In 18 Fällen war mindestens eine Methode erfolgreich, darunter bei Outlook, Thunderbird und Gmail. Bei diesen Programmen sei es möglich, alle Mail-Adressen aus einem Mail-Client zu identifizieren oder Web-Sitzungen von Nutzern mit deren Mail-Konten zu verknüpfen, erläutert Leon Trampert, der an der Untersuchung mitgewirkt hat. Verhindern lässt sich das CSS-Tracking nur mit textbasierten E-Mails, die ohne CSS auskommen. Daher setzt Protonmail als einziger Client in der Untersuchung auf Verschleierung und lädt alle CSS-Inhalte über einen Proxy.
Im Web kommen JavaScript und Tracking-Cookies zum Einsatz, um Nutzungsdaten zu erheben und einzelne User zu analysieren. Sie lassen sich auch nicht durch gegenteilige Browser-Anfragen vom Tracking abhalten. Weil aber die meisten Mailclients die Ausführung von JavaScript-Code verhindern, haben die Forscher untersucht, welche Möglichkeiten CSS zum Tracking bieten. Dazu prüften sie fast 1200 unterschiedliche Kombinationen aus Browser und Betriebssystem. In knapp 98 Prozent der Fälle konnten sie auf Eigenschaften des Systems schließen.
"Verräterisch sind installierte Schriftarten", erklärt Trampert. Lässt sich etwa eine proprietäre Schriftart von Microsoft erkennen, deutet das auf eine bestehende Installation von Microsoft Office hin. Mittels Berechnungen konnten die Wissenschaftler auf das Betriebssystem schließen. Angreifer können mit diesem Wissen versuchen, Sicherheitslücken des Betriebssystems oder installierter Software auszunutzen und in Systeme einzudringen.
Die Forscher griffen in CSS sowohl auf Eigenschaften als auch auf Regeln und Funktionen zurück. Um zu testen, ob eine Schriftart installiert ist, erstellten sie zwei Container. Einem wiesen sie den zu überprüfenden Font zu, dem anderen einen Fallback, jeweils in einer festen Größe. Sind die Container unterschiedlich breit, ist die Schriftart installiert. Die calc()-Funktion liefert unter Windows 10 und 11 minimal andere Ergebnisse als Linux und macOS, sodass sich daraus Hinweise auf das Betriebssystem ableiten lassen.
Die gesamten Ergebnisse haben die Wissenschaftler auf der Website ihres Instituts veröffentlicht.
(
Kommentare