TeamViewer: Fingerprinting über installierte Schriftart?

Sicherheit (Pexels, allgemeine Nutzung)[English]Benutzer, die den TeamViewer als Fernwartungssoftware verwenden und die Software unter dem Betriebssystem Windows installieren, sind im Web per Fingerprinting nach verfolgbar. Grund ist eine von der Software installierte Schriftart, wie Tarnkappe berichtet. Dem norwegischen Softwareentwickler Daniel Aleksandersen war das aufgefallen und er hat genauer hingeschaut. Ergänzung: Stellungnahme der TeamViewer-Entwickler eingefügt.


Anzeige

Das Thema ist mir diese Woche sowohl von Blog-Leser Michael V. per Mail zugegangen (danke dafür), als auch auf Twitter durch folgenden Tweet unter die Augen gekommen.

Web-Fingerprinting in TeamViewer

Jemand hat nachgeschaut

Bei der Windows-Version von TeamViewer wird nach diesem Bericht von tarnkappe.info eine obskure Schriftartendatei installiert, die nicht wirklich nutzbar ist. Die Schriftartendatei enthält keine wirklich gut lesbaren und sinnvollen Schriftzeichen – in obigem Tweet ist der Schriftzug Teamviewer in dieser Schriftart dargestellt. Wenn eine solche Schriftart installiert wird, könnte man daher hellhörig werden und mal genauer nachschauen. Genau dies hat der norwegische Softwareentwickler Daniel Aleksandersen getan und seine Erkenntnisse im Blog-Beitrag TeamViewer installs suspicious font only useful for web fingerprinting veröffentlicht.

Dass Software bei der Installation ihre eigenen Fonts (Schritartendateien) mitbringt, ist nichts ungewöhnliches. Microsoft Office, LibreOffice oder die Adobe Creative Suite installieren ergänzende Schriftarten. Das macht in diesem Kontext auch Sinn, wenn die in den Fonts enthaltenen Schriftschnitte neue Darstellungsmöglichkeiten enthalten. Aber beim TeamViewer-Font ist das deutlich anders.

Laut Aleksandersen enthält die Schriftartendatei lediglich die Zeichen, um TeamViewer gemäß obigem Bild darzustellen. Dann finden sich noch die Ziffern 7 und 8. Die restlichen 24 Großbuchstaben des lateinischen Alphabets sind als Apostroph kodiert. Die enthaltenen Zeichen haben ein ziemlich einzigartiges und meist unleserliches Design. Es stellt sich sofort die Frage nach dem Grund? Aleksandersen schreibt dazu:

Websites können die auf Ihrem Computer installierten Schriftarten erkennen. Die Erkennung von Schriftarten beruht auf Brute-Force-Tests. Eine Webseite erstellt ein verstecktes Stück Text und misst, wie breit es ist. Dann ändert sie die Schriftart, z. B. in die TeamViewer-Schriftart, und prüft, ob sich die Breite des Textes ändert. Wenn dies der Fall ist, weiß die Website, dass Sie diese Schriftart auf Ihrem Computer installiert haben – und damit auch die Software, die sie installiert hat.

Der Entwickler schreibt, dass die seltsamen und fast unleserlichen Proportionen der TeamViewer-Schriftart sich gut für Fingerpinting eignen und glaubt, das dies auch ihr eigentlicher Zweck ist. Es gebe keinen anderen Verwendungszweck für die Installation einer einzigartigen, nicht allgemein verwendbaren Schriftart zusammen mit einer Software, als das ermöglichen des browserbasierten Fingerprinting.

Das TeamViewer-Clientprogramm lädt die Schriftartdatei nicht, listet nicht alle installierten Schriftarten auf und verweist auch nicht direkt auf die Schriftartdatei, schreibt Aleksandersen. Laut dem Artikel wird die Schriftartdatei nur vom TeamViewer-Installationsprogramm und vom Deinstallationsprogramm referenziert. Die Mac- und Linux-Versionen enthalten die Schriftart nicht – nur in Windows kommt der Font mit. Das alles sind Belege, die Daniel Aleksandersen als Begründung des Zwecks "Fingerprinting" anführt.

Mehr Details

Die aktuelle Version der Schriftart heißt TeamViewer15. Die TeamViewer-Entwickler veröffentlichen eine neue Version der Schriftart mit jeder größeren Änderung der TeamViewer-Versionsnummer. Eine schnelle Abfrage auf GitHub durch Aleksandersen zeigt, dass viele Font-Fingerprinting-Bibliotheken Verweise auf die Font-Namen TeamViewer15, TeamViewer14 und TeamViewer13 enthalten.


Anzeige

Auf Hacker news hat jemand in diesem Kommentar-Thread einen Anwendungsfall für die Schriftart auf der TeamViewer-Website identifiziert und dokumentiert. Die Website prüft das Vorhandensein der Schriftart (und damit, ob Nutzer die Software installiert haben), wenn diese einem speziellen Link zur Einladung zu einer Screen-Sharing-Sitzung folgen. Die Links werden verwendet, um andere einzuladen, sich mit dem Computer zu verbinden.

Laut Aleksandersen erhöht die Schriftart das Risiko von Phishing und Betrug, die auf TeamViewer-Kunden abzielen. Eine Website, die von Teamviewer-Nutzern unter Windows besucht wird, könnte abfragen, ob diese TeamViewer verwenden. Dann ließen sich gezieltere Social-Engineering-Ansprachen formulieren, da bekannt ist, dass TeamViewer im Einsatz ist.

Zu TeamViewer hatte ich ja zahlreiche Beiträge hier im Blog, die ich nachfolgend mal verlinke. Dabei sind auch Nachrichten über den Verkauf des Produkts an Finanzinvestoren (TeamViewer: 'Stille' Übernahme durch Private Equity–Fonds). Mal abwarten, ob die Anfrage von Aleksandersen bei TeamViewer noch Klarheit über die Geschichte bringt.

Stellungnahme von TeamViewer

Ergänzung: Als der Beitrag als Konserve zur Veröffentlichung am Sonntag, den 24. Juli, verfasst wurde, endete der Artikel von Daniel Aleksandersen noch damit, dass er bei TeamViewer um eine Stellungnahme angefragt habe (ich habe daher auf eine eigene Anfrage in Göppingen verzichtet). Am 23. Juli hat Daniel im Laufe des Tages die folgende Antwort von Robert Haist, Chief Information Security Officer, TeamViewer, nachgetragen.

The TeamViewer font is used to implement a smooth user experience from web to the native client, e.g., when connecting via an invitation link, to offer an installation or initiate the connection directly. This has proven to be helpful to improve the user experience for all user groups; nevertheless, based on the raised concern, we have decided to review and change this approach within one of the next releases to prevent potential detection of a TeamViewer installation via the font.

Interessant ist, dass Robert Haist im Grunde die in Hacker News als Kommentar eingestellte Bebobachtung bestätigt – die nutzen Fingerprinting im Webclient zur Erkennung. Die Begründung lautet, dass man diese Technik nutzt, um beim Web-Client, der auf Grund eines Einladungslinks an einer Session teilnimmt, die Schritte (Verbindung oder Installation) besser abstimmen zu können. Ein verbessertes Benutzererlebnis wird da angeführt. Die von Daniel Aleksandersen geäußerten Bedenken, dass auch Dritte diese Technik missbrauchen könnten, wird aber von TeamViewer aufgegriffen. Gemäß obiger Aussage haben die Entwickler beschlossen, den oben skizzierten Ansatz in einer der nächsten Versionen des TeamViewer zu überprüfen und zu ändern, um eine mögliche Erkennung einer TeamViewer-Installation über die Schriftart zu verhindern.

Jetzt bleibt abzuwarten, ob und wann das passiert – könnte ein Fall von "gut gedacht, aber schlecht gemacht" sein. Hier geht mein Dank an Daniel Aleksandersen, der das Ganze offen gelegt hat.

Ähnliche Artikel:
Teamviewer kauft Ubimax
TeamViewer: 'Stille' Übernahme durch Private Equity–Fonds
TeamViewer: Sicherheitslücke gefährdet Sessions
TeamSpy Malware-Kampagne zielt erneut auf TeamViewer
Teamviewer seit 2020 für private Nutzung nicht mehr kostenlos
Teamviewer meldet fälschlich kommerzielle Nutzung
Teamviewer: Freigabe für Privatnutzung und Störung
TeamViewer integriert Microsoft Teams
TeamViewer-Hack: Hatte APT41-Gruppe Zugriff auf Millionen Geräte?
Cyber-Angriff auf TeamViewer, Chinesen im Verdacht


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

33 Antworten zu TeamViewer: Fingerprinting über installierte Schriftart?

  1. Anonymous sagt:

    Ein sauber recherchierter Artikel. Die Schriftart wird demnächst entfernt. Stand bereits gestern im verlinkten Beitrag…

    • Günter Born sagt:

      Danke für den Hinweis – was wäre ich ohne die Leserschaft. Aber nix ist so alt wie die Zeitung von gestern ;-). Ansonsten ist das Ganze mit Begründung nachgetragen …

      • Bernd B. sagt:

        Ich nutze ein Tool, um regelmässig (automatisch) über Änderungen von Websites (z.B. die Downloadseiten von Software oder auch RSS-Feeds) informiert zu werden.
        So etwas wäre u.U. auch für Sie bzgl. Webseiten, auf die sie Bezug nehmen, sinnvoll (und zeitsparend)?

        • Paul sagt:

          Ein Tool Namens? :-)

          • Bernd B. sagt:

            "Website-Watcher" von aignes.com, kostet aber (privat 50€, geschäftlich 300€).

            Ich habe vor dem Kauf ein wenig gesucht, habe jedoch keine gratis Software/Site gefunden, die _meine_ Ansprüche erfüllte. Aber von daher weiss ich, dass es ein paar webbasierte Dienste (IIRC meist kostenpflichtig) gibt und auch Freeware, die Webseiten regelmässig checken kann. Da kann ich aber nichts empfehlen, ist schon wieder zu lange her.

          • Bernd B. sagt:

            Ach ja, die haben auch eine "Free" Version, aber das ist eher eine Demo, kann nur 10 Seiten überwachen.

  2. Jens sagt:

    Darum: immer mit NoScript ins Internet ;-)

    Aber der Protokollhandler teamviewer8://instantsupport/?sid=XXXXXXXX funktioniert tatsächlich, auch ohne JavaScript. Allerdings fragt mich FireFox nach dem Anklicken, ob er die URL öffnen darf

  3. Dorian sagt:

    Daher Teamviewer nie richtig installieren, sondern immer die 'nur starten' Option auswählen, dann laufen auch nicht sonst dauernd Dienste mit usw.

  4. Svenny sagt:

    Zusammenfassung: Gut gemeintes Feature für bessere User Experience, leider von Dritten missbrauchbar.

  5. McAlex777 sagt:

    Es reicht den QuickSupport bei den Anwendern auf den Desktop zu legen, und selbst die Portable-Version welche sich nicht installiert zu starten.

    Anmerkung:
    Nach telefonischer Rückfrage bestätigte mir Teamviewer vor einigen Jahren das "gespeicherte" Teamviewer-Kennwörter in deren Cloud landen.

  6. Stephan sagt:

    Ok, eine Webseite kann darüber erkennen, ob TeamViewer installiert ist.
    Aber ein Wirklicher Fingerprint ist das nicht, da nur auf Existienz & Version geprüft werden kann.

    Genauso kann eine Webseite Prüfen ob andere Dinge Installiert ist.
    z.b. Browser & Version.
    Aber das ist genauso wenig ein Fingerprint, da Millionen von Leuten auf ihren Rechner TeamViewer installiert haben.

    Eine Funktion die vorhanden & gegeben ist, aber bis hierhin kein Beinbruch bzw. keine Eindeutige Identifikation ist.

    Eventuell kann jemand beschreiben, wie man Anhand dieser Informationen einen Benutzer eindeutig Identifizieren soll.
    Und bitte nicht mit Schwammigen Antworten wie Windows 10 Vxxx, FF Vxx und TeamViewer.
    Davon gibt es sicherlich wieder Millionen von Usern.

    • McAlex777 sagt:

      Wenn die externe Identifizierung ob ein PC Teamviewer installiert hat unproblematisch wär, hätte die Firma nicht darauf reagiert.

      • Stephan sagt:

        Hier im Blog werden auch immer wieder Böse Sicherheitslücken erörtert und auf "Gefährlich" gestuft,
        die völlig überbewertet werden, da der Angreifer Lokalen zugriff braucht.

        Also eigentlich egal was irgendwer irgendwo macht bzw. schreibt.

    • Bernd B. sagt:

      Teamviewer installiert Ja/Nein ist ein weiteres Kriterium beim Fingerprinting.
      EFF erklärt es auf https://coveryourtracks.eff.org/

      • Stephan sagt:

        Und ? Deshalb kein problem, da es genügend "Normale" Optionen gibt, einen Fingerprint zu erstellen.
        Dazu benötigt es kein TeamViewer.

        Eine weitere Option, klar. Notwendigt für einen Eindeutigen Fingerprint, Nein.
        Da es genug Alternativen gibt die schon Jahrzehnte dafür verwendet werden.

        btw. EFF zeigt mir "Our tests indicate that you have strong protection against Web tracking."
        Und das mit TeamViewer. Was soll ich jetzt machen ?

        • Luzifer sagt:

          ja es benötigt dazu Teamviewer nicht, aber es ist ein weiterer Punkt der genutzt werden kann und jeder weitere Punkt macht dich eindeutiger identifizierbar … das muss nicht sein!

          Hast du nur 20 Punkte zur Unterscheidung wird es schwer hats du hunderte wird es sehr sehr viel leichter … eines sollte dir klar sein Fingerprinting macht man nicht weil man Philanthrop ist, im einfachsten Fall sind das nur finanzielle Interessen im schlimmsten Fall … naja bete das du das nie erlebst.

          ;-P naja eure Seelen gehören sowieso mir ;-P

    • Dorian sagt:

      – Benutzer surft im Netz
      – Werbeanzeige erkennt dass er diese & jene Version von TeamViewer hat
      – Zeigt Banner/Popup im TeamViewer Look & Feel
      – Zeigt exakte Version der installierten Software = Vertrauensaufbau
      – Erklärt Sicherheitsproblem und bei >>hier klicken<< Update/Support

      Ergebnis:

      – Benutzer fällt darauf herein und installiert irgendwas bzw. ruft Scammer Callcenter an.

      Recherchetipp: Scammer Fake Popup

      • Stephan sagt:

        Und da haben wir wieder das Problem, das der Benutzer auf irgendeinen Banner auf irgendeiner Internetseite klickt.

        Das sind dann auch die Leute, die irgend einem Afrikanischen Prinzen 1000€ Überweisungsgebühr geben,
        um an die Million zu kommen.

        Dazu braucht es keine Arbeit wie Fingerprint oder Zero Day lücken,
        sondern einfach ein Drive-By oder "Klicke hier für die Besten Spiele/Filme/Gratis irgendwas" geschichte.
        Die Leute Installieren sowieso alles und klicken überall drauf.

        • Dorian sagt:

          Das automatisch auswertbare Wissen, ob/welche exakte Software für Remote Zugriff bei jemandem installiert ist, erleichtert solche Angriffe ungemein.

          Das wirst Du auch noch verstehen, wenn Du Dich etwas länger/tiefer mit dem Thema IT-Sicherheit vertraut machst. Das richtige Blog dafür hast Du schon gefunden, jetzt kommt als nächstes der Schritt Zusammenhänge erkennen.

          • Stephan sagt:

            Spaßiger Beitrag den du da geschrieben hast.
            Ich lache Später.

            Wenn für dich IT Sicherheit darin besteht, über Hochgefährliche Sicherheitslücken zu Lesen, die ein Lokales agieren erfordern.
            Mittels erweiterten Rechten lokal Schadsoftware einzuspielen um erweitere Rechte zu bekommen.
            Na dann bist du hier Absolut richtig.

            Selten gibt es Richtige Sicherheits News im Spaß Blog.
            Aber, für dich scheint es zu reichen.

          • Günter Born sagt:

            @Stephan: Wollte mich eigentlich nicht in die Diskussion einklinken sondern laufen lassen. Aber ich habe mal einige Kommentare deinerseits zu verschiedenen Themen überflogen. Der Code of Conduct des Blogs bittet um einen "respektvollen Umgang miteinander" – den vermisse ich langsam. Juckt mich nicht, wenn es gegen mich persönlich geht – aber im Hinblick auf andere Kommentatoren wünschte ich mir "einen respektvollen Umgang miteinander". Man kann eine abweichende Meinung oder Standpunkt auch sachlich darstellen.

            Wenn ich es nicht ganz falsch auf die Kette bringe, bist Du ja durchaus Fachmann, von dessen Erfahrungen die Leserschaft profitieren könnte – wird aber schwierig, wenn die Leute in jedem Satz als doof dargestellt werden. Sehe ich als kontraproduktiv an. Wäre schade, wenn ich irgendwann blockieren müsste.

        • Jens sagt:

          da seit Windows 10 (eigentlich schon seit 8) Dialogfenster wie Webseiten aussehen kann eine Webseite auch problemlos einen Dialog simulieren, der wie ein Teamviewer-Fenster aussieht. Dass dieses in der Taskleiste kein Pendant hat fällt einem normalen Benutzer nicht auf. Also gar nicht so weit hergeholt. Das hat in diesem Fall nichts mit "überall draufklicken" zu tun …

          • Stephan sagt:

            Die Optikl der Fenster unter Windows zu verändern gab es schon ab XP mit Hauseigenen mitteln.

            Aber stell dir mal Folgendes Szenario durch.

            Du Surfst auf einer Warez seite und suchst dir irgendwelche bestimmten dinge wie Filme, Musik oder Tools.
            Völlig egal.

            Plötzlich Ploppt eine "TeamViewer" Meldung auf, die dir erzählen will,
            du sollst ein Update Installieren, oder jemand will eine Sitzung.

            Würdest du da einfach Blind draufklicken, oder erstmal versuchen den Dialog zu Verschieben.
            Eventuell das Browser Fenster Minimieren.

            Egal, denn es würde Sofort auffallen, das der Dialog innerhalb des Browsers ist und somit Werbung oder eine Falle.

            Nennt sich "Gesunder Menschenverstand"
            Und wer dennoch auf den Vermutlichen Dialog klickt, gehört zu der gruppe menschen,
            die sowieso Überall draufklicken.

          • Paul Pech sagt:

            Richtig. Vor allem, wenn das Dialogfenster nicht von der Seite selbst stammt, sondern aus einem Werbebanner. Das kann einem bei den seriösesten Webseiten passieren (also *keine* "Warez-Seite", @Stefan). Vor allem, da oft verlangt wird, den Werbeblocker abzuschalten, um den Inhalt sehen zu können. Und – zack! – meldet sich Dein TeamViewer und bittet dringend um ein Update.
            Da muss man kein notorischer ich-klicke-auf-alles-was-sich-bewegt Klicker sein, um drauf reinzufallen. Vor allem, wenn man sich mal ganz kurz überlegt, auf wie viele verschiedene Arten Programme um ein Update bitten. Da zeigt sich der wahre Erfindungsreichtum der Softwareindustrie :)

          • Stephan sagt:

            @Paul Pech

            Wie auch immer ihr meint.
            Zumindest kann ich bestätigen, das in meinem Umfeld niemand auf einen Update Button für eine Software klickt,
            die nicht von der Software selbst kommt.

            Auch auf der Arbeit sind die Entsprechenden Personen soweit geschult,
            mistrauisch zu werden, wenn solche Meldungen aufploppen.

  7. MWC sagt:

    Vielen Dank für die Information!
    teamviewer15Host.otf
    und teamviewer15.otf
    fliegt hinaus

  8. Bolko sagt:

    Wie wäre es mit "Anydesk" statt "TeamViewer"?
    Hat Anydesk Nachteile?

    • mvo sagt:

      Wir nutzen Anydesk seit einiger Zeit (vorher Teamviewer) und sind damit sehr zufrieden. Vor allem ist Anydesk deutlich günstiger als Teamviewer.

    • Andreas sagt:

      Wir nutzen aktuell auch AnyDesk.

      Sind aber gerade dabei RustDesk on-premise zu evaluieren.
      Gibt es für alle von uns benötigten Platformen und ist OSS.
      Bisher sieht es recht vielversprechend aus, genaueres wird sich zeigen.

  9. Cornelia sagt:

    Ich äussere hier auch noch meine Meinung und Erfahrung, auch wenn der Post schon nicht mehr ganz frisch ist.

    Auf meinem Heim-PC läuft seit Jahren die installierte Version von Teamviewer, damit ich (gelegentlich) darauf zugreifen konnte/kann. Für den Zugriff von extern hatte ich stets die portable Version genutzt.
    Früher nutzte ich das vor allem, um an Dateien weiterzuarbeiten, die ich Zuhause erstellt hatte, oder um den Stand von Software-Updates zu überprüfen. Seit ich ein NAS habe und zudem meine Abneigung gegenüber OneDrive nicht mehr so gross ist, brauche ich ersteres gar nicht mehr. Zweiteres ist äusserst selten geworden. Insofern ist die Installation praktisch obsolet.

    Auf einzelnen Servern von unseren Kunden ist Teamviewer installiert, damit externe Dienstleister jederzeit zugreifen können. In den meisten Fällen wird aber auch nur die portable Version genutzt, um den Zugriff bei Bedarf zu ermöglichen. Oder die Dienstleister haben ein eigenes Login für Remotedesktop auf den Terminalserver, was Teamviewer überflüssig macht.

    Zu Supportzwecken für die Endbenutzer nutzen wir gewöhnlich ein anderes Tool. Falls das nicht klappt (Edge blockiert zunächst den Download / Defender blockiert die Ausführung), greifen wir mitunter auf die in Windows 10/11 verfügbare Funktion "Hilfe anfordern" bzw. "Remotehilfe" zurück.

    @Bolko und Andreas:
    Danke für die Erwähnung der Alternativen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.