Microsoft Bug

Microsoft Word Dokumente können nach Hause telefonieren

Microsoft Office Dateien wie Word-Dokumente, Excel-Tabellen oder PowerPoint-Präsentationen können versteckte Web Bugs enthalten, die beim Öffnen der Datei auf eine URL zugreifen und so im Logfile Daten des Benutzers hinterlassen. Damit ist feststellbar, wo, wie oft und von wie vielen Personen eine Office-Datei geöffnet wird.

Was bei Werbe E-mails im HTML-Format bereits häufig vorkommt, ist auch mit Microsoft Word Dokumenten, Excel-Tabellen und PowerPoint-Präsentationen möglich. Microsoft Word z.B. erlaubt ab der Version 97 das Einfügen von Grafikdateien außerhalb der eigenen Festplatte mittels einer URL. Auf diese Weise kann die Dateigröße verringert werden - statt einer Grafikdatei wird nur ein Link gespeichert. Man wählt "Einfügen", "Grafik", "Aus Datei", kopiert dann die URL in das Feld "Dateiname" und hakt auf der rechten Seite "Verknüpfung zu Datei" an. Ein Beispiel für ein Dokument mit Web Bug kann am Privacy Center der University of Denver heruntergeladen werden. Die eingefügte Grafikdatei läßt sich leicht verstecken, indem man sie z.B. nur 1 Pixel mal 1 Pixel groß macht. Bei jedem Öffnen der Datei ruft Microsoft Word (respektive Excel oder PowerPoint) die URL auf und hinterlässt eine Spur im Logfile: Unter anderem die IP-Nummer und den Hostnamen. Wenn der Benutzer beim Öffnen des Dokuments nicht gerade offline ist oder nebenbei seine Datenströme beobachtet, bleibt solch eine Verletzung der Privatsphäre unbemerkt.

Denkbare Einsatzbereiche dieser Funktion sind z.B. das Aufspüren von Sicherheitslücken mittels der Verfolgung des Weges vertraulicher Dokumente, das Feststellen von Copyrightverletzungen und der Einsatz zur Datengewinnung für die Marktforschung. Bei Firmen gibt der Hostname üblicherweise auch Aufschluss über den Namen des Unternehmens. Schon allein die Informationen aus dem Logfile können wertvolle Schlüsse zulassen: Eine fremde IP-Nummer zeigt an, dass das Dokument über den Firmen- bzw. Organisationsbereich hinaus weitergegeben wurde. Nützlich wird diese Information, wenn die Originale des Dokuments mit einer versteckten Seriennummer gekennzeichnet wurden, die konkrete Rückschlüsse auf das "Leck" zulässt. Hinzu kommt, dass Word den Microsoft Internet Explorer zum Zugriff auf die Dateien benutzt, wodurch zusätzlich Cookies von einem Word Dokument aus sowohl gelesen als auch gesetzt werden können.

Copyrightverletzungen sind mittels Web Bugs ebenso leicht verfolgbar. Besonders problematisch wirkt das Vorhandensein solcher für die Privatsphäre problematischer Funktionen, wenn sie im Bereich von Musik- oder Videodateien auftauchen. Ein erweitertes MP3-Format, das eingebettetes HTML zur Anzeige von Texten oder Copyrightvermerken unterstützt, das aber auch Web Bugs zur Kontrolle der Abspielhäufigkeit und Verbreitung enthält, ist leicht vorstellbar.

Auch der vor kurzem erschienene Windows Media Player 8 enthält in seiner Standardeinstellung für die Privatsphäre problematische Features wie die Vergabe einer Identifikationsnummer, die über das Internet z.B. bei "pay-per-view" weitergegeben wird, die automatische Vergabe von Lizenznummern für Mediendateien und die Anlage einer Datenbank aus allen benutzten Audio- und Videodateien. Auch beim Abspielen von Audio-CDs werden standardmäßig Daten über das Internet weitergegeben. Ebenfalls standardmäßig angeschaltet ist die Vergabe von Cookies.

Schutz gegen mögliche Eingriffe in die Privatsphäre bietet neben dem Umstieg auf andere Textverarbeitungsprogramme z.B. die Desktop Firewall ZoneAlarm, die meldet, wenn ein nicht autorisiertes Programm auf das Internet zugreifen will.

Entdeckt wurde das Problem von der Privacy Foundation, die Microsoft zu einer Stellungnahme zu diesem Problem aufforderte. Die Firma bestätigte zwar den festgestellten Sachverhalt, sah aber keinen Handlungsbedarf, da bisher keine Probleme mit Web Bugs in Office Dokumenten bekannt geworden seien.

http://www.heise.de/tp/artikel/8/8643/1.html