Den echten Namen von macOS-Nutzern per Brute-Force über den Browser mithilfe von mDNS herausfinden

 (fingerprint.com)
3 Punkte von GN⁺ 2023-07-14 | 1 Kommentare | Auf WhatsApp teilen
  • Dieser Artikel untersucht eine Technik, mit der sich der Name von macOS-Nutzern ohne deren Zustimmung herausfinden lässt.
  • Die Technik umfasst das Brute-Force-Durchprobieren beliebter, nach Geschlecht sortierter Namenslisten, um den Namen eines Nutzers zu ermitteln.
  • Das mDNS-Protokoll wird verwendet, um Gerätenamen in lokalen Netzwerken zu registrieren, zu entdecken oder bekanntzugeben.
  • Apple-Geräte legen den Namen des Nutzers im lokalen Hostnamen offen, was sich für diese Brute-Force-Technik ausnutzen lässt.
  • Hostnamen können im Browser über Timing-Bypässe aufgelöst werden.
  • Der standardmäßige lokale Hostname von macOS enthält den Namen des Nutzers und den Gerätenamen.
  • Der Angriff kann effizienter sein, wenn der Suchraum auf ein einzelnes Gebietsschema, ein einzelnes Gerät und die 50 häufigsten Namen in dieser Region begrenzt wird.
  • Eine Proof-of-Concept-Demo sagte den Namen in 65 % der Fälle erfolgreich voraus.
  • Dieser Angriff hat Einschränkungen und lässt sich in den Entwicklerwerkzeugen des Browsers leicht erkennen.
  • Der Artikel lotet die Grenzen der Internet-Privatsphäre aus und hebt das Potenzial unkonventioneller Techniken zur Verletzung der Privatsphäre hervor.
  • mDNS-Erkennungstechniken können genutzt werden, um Geräte in lokalen Netzwerken zu erkennen, darunter Drucker, Smart-TVs und IoT-Geräte.
  • Die Technik kann auch auf iPhones und iPads angewendet werden, wenn bestimmte Funktionen aktiviert sind.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-07-14
Hacker-News-Kommentar
  • Der Artikel ist gut geschrieben, interessant und hat einen unaufgeregten Ton.
  • Little Snitch wird als Tool genannt, das Netzwerkanfragen blockieren kann und eine ausdrückliche Erlaubnis erfordert.
  • Standardmäßig können Tools wie Little Snitch Anfragen an das lokale Netzwerk stillschweigend zulassen.
  • Der Artikel erklärt, wie ein Browser mithilfe von mDNS den echten Namen eines macOS-Nutzers per Brute-Force ermitteln kann.
  • Der Artikel ist auch für Personen zugänglich und leicht verständlich, die nicht mit DNS oder JavaScript vertraut sind.
  • Der Artikel hebt die potenziellen Risiken von Timing-Angriffen und Port-Scanning über den Browser hervor.
  • Der Zeitunterschied zwischen gültigen und ungültigen Adressen ist erstaunlich.
  • Die Wahl des macOS-Hostnamens wirft Bedenken hinsichtlich des Datenschutzes auf.
  • Das Deaktivieren von JavaScript kann sich auf die Endnutzererfahrung auswirken.
  • Der Artikel präsentiert einen Proof of Concept sowie Gegenmaßnahmen, um Angreifer in die Irre zu führen.
  • Die Kommentierenden loben die Qualität des Artikels und schlagen vor, wie man Angreifer zu unterhaltsamen Aktionen verleiten kann.
  • Einige Kommentierende halten die Wahl des Geräte-Hostnamens unter macOS eher für ein Feature als für einen Fehler.