POC zur CSP-Deanonymisierung von GooglePlus Usern

Diese Seite dient als Implementierung eines Proof of Concepts der Deanonymisierung von GooglePlus Nutzern durch CSP-Header-Bruteforcing.

Folgende Webseiten wurden als angreifbar ermittelt:

Voraussetzungen

Dieser Exploit funktioniert nur unter bestimmten Voraussetzungen:

Eine ausführliche Erklärung gibt es in meinem Artikel Deanonymisierung von Facebook Nutzern durch CSP Bruteforcing

Achtung: Bei stabiler Interneverbindung benötigt die Prüfung ca. 10 bis 15 Sekunden und überträgt ca. 2MB Daten

Erläuterungen

Diese Technik basiert auf einem Bruteforcing von GooglePlus-Profil-URLs. Da ein Test aller User sowohl Zeit- als auch Traffic-mäßig nicht praktikabel ist (Facebook hat z.B. mehr als 1 Milliarde User), muss eine Vorauswahl der zu testenden Profile getroffen werden (siehe Vorqualifizierung von Facebook Profil URLs für einige realistische Ansätze dazu). Da diese Seite 'nur' ein Proof of Concept ist und ich natürlich keinen vollwertigen ready-to-use-Exploit liefern will, beschränke ich mich auf ein Subset von 1.000 Fake-Profilen. Diese 'Gruppe 0' wird standardmäßig geprüft um ein realistisches Szenario hinsichtlich Dauer und Traffic zu simulieren.

Damit dieses Proof of Concept funktioniert und deine Profil-URL ermittelt werden kann, musst Du deine Profil-URL in das folgende Textfeld posten - gerne zusammen mit einer großen Anzahl (maximal 750) weiterer Profil-URLs (getrennt durch Zeilenumbruch), damit klar wird, dass nicht einfach nur die Eingabe des Textfeldes ausgewertet wird ;) Das Script wird dann aus dieser Eingabe das richtige Profil identifizieren.

Deine Daten werden natürlich nicht gespeichert!

Los geht's

Tipp: Du kannst auch auf den folgenden Button klicken und damit 500 zufällige Fake-Profile in das Textfeld einfügen. Dabei wird der aktuelle Inhalt gelöscht!

Achtung: Du musst jetzt noch 'irgendwo' dazwischen deinen echten Usernamen hinzufügen!

Du findest deine GooglePlus-Profil-URL unter https://plus.google.com/me. Diese sieht zum Beispiel so aus: https://plus.google.com/108440207940073639347 - wobei der markierte Teil der Username bzw. die User ID ist.

Beispiel-Eingabe:

108440207940073639347
zuck
fake.profil.1337
Deanonymisierung starten

Status

© by Pascal Landau