Firefox-Schwachstelle ermöglicht Fingerprinting von Tor-Nutzern

Zusammenfassung

Sicherheitsforscher haben eine Schwachstelle in Firefox entdeckt, mit der sich Nutzer wiedererkennen lassen – selbst im privaten Surfmodus und im Tor Browser, der auf Firefox basiert. Die unter der Kennung CVE-2026-6770 geführte Lücke betrifft die Browser-Schnittstelle IndexedDB, über die strukturierte Daten auf der Clientseite gespeichert werden. Firefox verwaltet die Namen von IndexedDB-Datenbanken über interne UUID-Zuordnungen. Listet eine Website diese Datenbanken auf, bleibt die Reihenfolge der Rückgabe über verschiedene Websites hinweg gleich, solange derselbe Browser-Prozess läuft. Dadurch können voneinander unabhängige Websites dieselbe Reihenfolge beobachten und sie nutzen, um die Aktivität eines Nutzers über mehrere Domains hinweg zu verknüpfen – ganz ohne Cookies oder gemeinsam genutzten Speicher. Der so erzeugte Fingerabdruck übersteht Neuladen der Seite und neue private Sitzungen und verschwindet erst, wenn der Browser vollständig neu gestartet wird. Besonders brisant ist die Lücke für den Tor Browser: Dort lässt sich damit auch die Funktion „New Identity" aushebeln, die eigentlich dafür sorgen soll, dass sich die Aktivität eines Nutzers nicht seitenübergreifend zusammenführen lässt. Mozilla hat die Schwachstelle mit Firefox 150 behoben, das Tor-Projekt mit Tor Browser 15.0.10.

Im Zentrum der Schwachstelle steht die IndexedDB-Schnittstelle, die Browser zum clientseitigen Speichern strukturierter Daten nutzen. Firefox legt die Namen der zugehörigen Datenbanken über interne UUID-Zuordnungen ab. Fragt eine Website die vorhandenen Datenbanken ab, erhält sie die Liste in einer bestimmten Reihenfolge – und diese Reihenfolge bleibt über verschiedene Websites hinweg identisch, solange derselbe Browser-Prozess aktiv ist.

Genau dieses stabile Muster lässt sich als Erkennungsmerkmal missbrauchen. Voneinander unabhängige Websites können die identische Reihenfolge jeweils für sich beobachten und daraus ableiten, dass es sich um denselben Nutzer handelt. Eine Verknüpfung über mehrere Domains hinweg wird so möglich, ohne dass Cookies oder gemeinsam genutzter Speicher im Spiel sind. Der Fingerabdruck überdauert dabei sowohl das Neuladen einer Seite als auch das Öffnen neuer privater Sitzungen – erst ein vollständiger Neustart des Browsers setzt ihn zurück.

Damit greift die Lücke auch dort, wo Nutzer eigentlich Schutz vor Wiedererkennung erwarten: im Privatmodus von Firefox und beim Einsatz der „New Identity"-Funktion des Tor Browsers. Diese Funktion soll Verlauf, Cookies und aktive Verbindungen löschen, um zu verhindern, dass sich die Aktivität eines Nutzers über verschiedene Seiten hinweg zusammenführen lässt.

Nach Darstellung der Forscher untergräbt der stabile Identifikator diese Trennung: „Im Tor Browser hebelt der stabile Identifikator die Isolation der ‚New Identity’-Funktion innerhalb eines laufenden Browser-Prozesses faktisch aus und erlaubt es Websites, Sitzungen zu verknüpfen, die eigentlich vollständig voneinander getrennt sein sollten."

Mozilla hat CVE-2026-6770 mit der Veröffentlichung von Firefox 150 geschlossen. Das Unternehmen stuft die Schwachstelle als mittelschwer ein und beschreibt sie lediglich als „anderes Problem in der Komponente Storage: IndexedDB". Das Tor-Projekt hat den Patch ebenfalls übernommen und ihn kürzlich mit Tor Browser 15.0.10 an seine Nutzer ausgeliefert.

Firefox-Schwachstelle ermöglicht Fingerprinting von Tor-Nutzern

Ähnliche Artikel

Neueste Artikel