Tracking: Falsch konfiguriertes Gerät kann die IPv6-Privacy-Extensions unbrauchbar machen

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.039
ipv6_logo.png
Bedingt durch die immer knapper werdenden IPv4-Adressen wurde im Jahr 1998 das Internet-Protocol in Version 6 von der Internet Engineering Task Force (kurz: IETF) in der Öffentlichkeit publiziert. Heute ist IPv6 inzwischen zum Alltag geworden. Doch bei der hohen Anzahl von Clients steigt das Risiko, dass ein falsch konfiguriertes Gerät die IPv6-Privacy-Extensions aushebelt.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Trügerische Scheinsicherheit…getracked wird seriös schon lange nicht mehr mit der IP, dafür gibts Canvas oder WebGL, und die Liste lässt sich mittlerweile fast beliebig erweitern. Und den einzelnen Nutzer anhand des Prefix zu tracken geht heute schon…nach RIPE Empfehlungen ist jedem privaten Endnutzer ein /56 zuzuteilen. Die paar Abweichler (*hust* Vodafone), die ein /60 oder andere, krumme Prefixe vergeben lassen sich ja auch gut erfassen.
 
Trügerische Scheinsicherheit…getracked wird seriös schon lange nicht mehr mit der IP, dafür gibts Canvas oder WebGL, und die Liste lässt sich mittlerweile fast beliebig erweitern. Und den einzelnen Nutzer anhand des Prefix zu tracken geht heute schon…nach RIPE Empfehlungen ist jedem privaten Endnutzer ein /56 zuzuteilen. Die paar Abweichler (*hust* Vodafone), die ein /60 oder andere, krumme Prefixe vergeben lassen sich ja auch gut erfassen.
Erzähl mal mehr was man gegen Canvas und WegGL machen kann.
 
Wo genau liegt jetzt das Problem?
Wenn mein Kühlschrank seine MAC benutzt ist das Tracking-technisch doch vollkommen belanglos solange der nicht auch die Seiten aufruft, die ich selber aufrufe.
Mal davon ab gibts (zumindest bei der DTAG) keine DSL-Reconnects mehr, ich benutze mitunter über Wochen die gleiche IP (IPv4 /32, IPv6 /56), darüber kann mich eh jeder tracken.
 
Mal davon ab gibts (zumindest bei der DTAG) keine DSL-Reconnects mehr, ich benutze mitunter über Wochen die gleiche IP (IPv4 /32, IPv6 /56), darüber kann mich eh jeder tracken.
Über Monate sogar. Ist mir auch schon aufgefallen, seitdem habe ich auch den reconnect in der Fritzbox abgeschaltet.
 
Die PPPoE Zwangstrennung findet bei der Telekom alle 180 Tage statt.
 
Ok, mag sein, so stabil ist die DTAG hier nicht, dass ich in den Genuss von 180 Tagen ohne Ausfall kommen würde. ;)
 
Wo genau liegt jetzt das Problem?
Wenn mein Kühlschrank seine MAC benutzt ist das Tracking-technisch doch vollkommen belanglos solange der nicht auch die Seiten aufruft, die ich selber aufrufe.
Mal davon ab gibts (zumindest bei der DTAG) keine DSL-Reconnects mehr, ich benutze mitunter über Wochen die gleiche IP (IPv4 /32, IPv6 /56), darüber kann mich eh jeder tracken.
Offenbar hat das eine Gerät auswirkungen auf die anderen:
Des Weiteren hat dies zur Folge, dass diese IPv6-Adresse ohne Privacy-Extensions das gesamte Endbenutzer-Präfix als Tracking-Identificator verrät, wodurch die Geräte in Gefahr sein können, die eine IPv6-Adresse inklusive Privacy-Extensions hinterlegt (bekommen) haben.
Im Abstract der Quelle steht das auch. Aber was dazu nötig ist, weiss ich leider nicht.
Also ist das direkt eine Schwachstelle die von aussen genutzt werden kann, oder musst du als Nutzer zufällig sowohl vom ungeschützen Gerät als auch mit den geschützten, mit dem Angreifer Kontakt gehabt haben, damit dieser dich ab dem Zeitpunkt tracken kann?
 
Ich verstehe schon was da gemeint ist, ich halte es nur für reine Panikmache und ziemlich belanglos.
Jeder Kunde bekommt ein Prefix (z.B. /56).
Wenn das Prefix wechselt und ein Gerät keine Privacy Extensions nutzt, dann ist es über die MAC in der Adresse identifizierbar und damit alle IPs aus dem Prefix einem Anschluss zuordbar.
Aber dafür muss das Gerät nach außen kommunizieren und es kann dich nur derjenige zuordnen, zu dem du kommunizierst.
Sprich du hast z.B. nen Echo, der kommuniziert ohne Privacy Extensions nach Amazon.
Nun wissen dein Provider, der Betreiber des DNS-Servers und Amazon anhand der MAC in der IP wer das ist.
Aber:
- Dein Provider weiß eh was Sache ist
- Dein DNS-Provider ist in 99% der Fälle auch dein ISP.
- Von außen kann man das nicht ohne weiteres ausnutzen
- Amazon weiß eh wer du bist sobald deren Gerät sich dort meldet.

Interessant wirds imho nur wenn ein echter Client die MAC nutzt, weil dann jeder halbwegs große Werbeanbieter (über die IP) tracken kann.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh