Kullanıcılar CSS kullanarak e-postalarında takip edilebilir. Web'deki kullanım verilerine benzer şekilde, e-posta gönderenler verileri kaydedebilir ve böylece kullanılan sistem hakkında sonuçlar çıkarabilir. Bu, CISPA Helmholtz Bilgi Güvenliği Merkezi tarafından yapılan bir çalışmayla gösterilmiştir. Tarayıcı veya e-posta istemcisi, işletim sistemi ve diğer yüklü programlar verilerde tanımlanabilir. Sistem dili ayrıca CSS izleme yoluyla da görülebilir.
Reklamcılık
Metin tabanlı e-postalar CSS takibine karşı koruma sağlar
Araştırmacılar 21 e-posta programını inceledi. Masaüstü ve web istemcilerinin yanı sıra Android ve iOS uygulamalarına da baktılar. Farklı teknikler kullanarak CSS aracılığıyla veri elde etmeye çalıştılar. Aralarında Outlook, Thunderbird ve Gmail'in de bulunduğu 18 vakada en az bir yöntem başarılı oldu. Soruşturmaya katılan Leon Trampert, bu programlarla bir e-posta istemcisindeki tüm e-posta adreslerini tespit etmenin veya kullanıcıların web oturumlarını e-posta hesaplarına bağlamanın mümkün olduğunu açıklıyor. CSS takibi ancak CSS gerektirmeyen metin tabanlı e-postalarla engellenebilir. Bu nedenle Protonmail, araştırmada gizlemeyi kullanan ve tüm CSS içeriğini bir proxy aracılığıyla yükleyen tek istemcidir.
Web'de kullanım verilerini toplamak ve bireysel kullanıcıları analiz etmek için JavaScript ve izleme çerezleri kullanılır. Tarayıcının aksi yöndeki istekleri nedeniyle izleme yapmanız durdurulmayacaktır. Ancak çoğu e-posta istemcisi JavaScript kodunun yürütülmesini engellediğinden, araştırmacılar CSS'nin izleme için ne gibi olanaklar sunduğunu araştırdı. Bunu yapmak için neredeyse 1.200 farklı tarayıcı ve işletim sistemi kombinasyonunu test ettiler. Vakaların neredeyse yüzde 98'inde sistemin özellikleri hakkında sonuçlar çıkarabildiler.
Yazı tipleri sistem bilgilerini ortaya çıkarır
Trampert, “Yüklü yazı tipleri çok şey anlatıyor” diye açıklıyor. Microsoft'a ait özel bir yazı tipi belirlenebiliyorsa bu, Microsoft Office'in mevcut bir kurulumuna işaret eder. Bilim insanları hesaplamaları kullanarak işletim sistemini ortaya çıkarmayı başardılar. Saldırganlar bu bilgiyi, işletim sistemindeki veya yüklü yazılımdaki güvenlik açıklarından yararlanmaya ve sistemlere sızmaya çalışmak için kullanabilir.
Araştırmacılar CSS'deki kuralların ve işlevlerin yanı sıra özellikleri de kullandılar. Bir yazı tipinin yüklü olup olmadığını test etmek için iki kapsayıcı oluşturdular. Her biri sabit boyutta olacak şekilde birine kontrol edilecek yazı tipini, diğerine ise bir yedek yazı tipi atadılar. Kapların farklı genişlikleri varsa yazı tipi yüklenir. calc()işlevi, Windows 10 ve 11'de Linux ve macOS'tan biraz farklı sonuçlar verir, böylece işletim sistemi hakkındaki bilgiler bundan elde edilebilir.
Bilim insanları sonuçların tamamını enstitülerinin web sitesinde yayınladılar.
(sfe)
Reklamcılık
Metin tabanlı e-postalar CSS takibine karşı koruma sağlar
Araştırmacılar 21 e-posta programını inceledi. Masaüstü ve web istemcilerinin yanı sıra Android ve iOS uygulamalarına da baktılar. Farklı teknikler kullanarak CSS aracılığıyla veri elde etmeye çalıştılar. Aralarında Outlook, Thunderbird ve Gmail'in de bulunduğu 18 vakada en az bir yöntem başarılı oldu. Soruşturmaya katılan Leon Trampert, bu programlarla bir e-posta istemcisindeki tüm e-posta adreslerini tespit etmenin veya kullanıcıların web oturumlarını e-posta hesaplarına bağlamanın mümkün olduğunu açıklıyor. CSS takibi ancak CSS gerektirmeyen metin tabanlı e-postalarla engellenebilir. Bu nedenle Protonmail, araştırmada gizlemeyi kullanan ve tüm CSS içeriğini bir proxy aracılığıyla yükleyen tek istemcidir.
Web'de kullanım verilerini toplamak ve bireysel kullanıcıları analiz etmek için JavaScript ve izleme çerezleri kullanılır. Tarayıcının aksi yöndeki istekleri nedeniyle izleme yapmanız durdurulmayacaktır. Ancak çoğu e-posta istemcisi JavaScript kodunun yürütülmesini engellediğinden, araştırmacılar CSS'nin izleme için ne gibi olanaklar sunduğunu araştırdı. Bunu yapmak için neredeyse 1.200 farklı tarayıcı ve işletim sistemi kombinasyonunu test ettiler. Vakaların neredeyse yüzde 98'inde sistemin özellikleri hakkında sonuçlar çıkarabildiler.
Yazı tipleri sistem bilgilerini ortaya çıkarır
Trampert, “Yüklü yazı tipleri çok şey anlatıyor” diye açıklıyor. Microsoft'a ait özel bir yazı tipi belirlenebiliyorsa bu, Microsoft Office'in mevcut bir kurulumuna işaret eder. Bilim insanları hesaplamaları kullanarak işletim sistemini ortaya çıkarmayı başardılar. Saldırganlar bu bilgiyi, işletim sistemindeki veya yüklü yazılımdaki güvenlik açıklarından yararlanmaya ve sistemlere sızmaya çalışmak için kullanabilir.
Araştırmacılar CSS'deki kuralların ve işlevlerin yanı sıra özellikleri de kullandılar. Bir yazı tipinin yüklü olup olmadığını test etmek için iki kapsayıcı oluşturdular. Her biri sabit boyutta olacak şekilde birine kontrol edilecek yazı tipini, diğerine ise bir yedek yazı tipi atadılar. Kapların farklı genişlikleri varsa yazı tipi yüklenir. calc()işlevi, Windows 10 ve 11'de Linux ve macOS'tan biraz farklı sonuçlar verir, böylece işletim sistemi hakkındaki bilgiler bundan elde edilebilir.
Bilim insanları sonuçların tamamını enstitülerinin web sitesinde yayınladılar.
(sfe)