Websites missbrauchen Passwort-Manager für User-Tracking

Skripte nutzen eine seit Jahren bekannte Anfälligkeit aus. Sie erlaubt es, Anmeldeformulare im Hintergrund einer Website einzublenden und die automatisch darin eingefügten Daten auszulesen. Die Skripte finden sich auf rund 1000 von 50.000 analysierten Websites.

Forscher der Princeton University haben herausgefunden, dass einige Websites Skripte einsetzen, um E-Mail-Adressen von Nutzern auszuspähen. Dies wird durch eine Schwachstelle in verschiedenen Passwort- und Login-Managern ermöglicht. Die E-Mail-Adressen wiederum dienen der Identifikation von Nutzern, um deren Internetaktivitäten zu verfolgen.

Log-in Nutzername Passwort (Bild: Shutterstock)„Die zugrundeliegende Anfälligkeit der Login-Manager für den Diebstahl von Anmeldedaten ist seit Jahren bekannt“, schreiben die Forscher Gunes Acar, Steven Englehardt, and Arvind Narayanan. Bisher habe sich die Diskussion auf das Auslesen von Passwörtern im Rahmen von Cross-Site-Scripting-Angriffen konzentriert. „Glücklicherweise haben wir bei der Analyse von 50.000 Websites keinen Passwortdiebstahl entdeckt.“

Stattdessen setzten einige Websitebetreiber nun Tracking-Skripte ein. „Sie missbrauchen dieselbe Technik, um E-Mail-Adressen zu extrahieren“, so die Forscher weiter. „Wir haben zwei Skripte gefunden, die diese Technik nutzen, um E-Mail-Adressen aus Login-Managern auszulesen. Die Adressen werden anschließend gehasht und an einen oder mehrere Dritt-Server verschickt.“

Die Skripte fügen demnach unsichtbare Anmeldeformulare in den Hintergrund einer Website ein. Erkennt der Browser ein solches Formular und füllt er es wie gewohnt aus, landen die Daten beim Websitebetreiber, der daraus eine eindeutige ID generiert, um Nutzer auf ihrem Weg durchs Internet zu verfolgen.

Generell hätten Login-Manager einen positiven Effekt auf die Sicherheit im Web, ergänzten die Forscher. „Browseranbieter sollten jedoch überdenken, ob sie einen heimlichen Zugriff auf automatisch ausgefüllte Anmeldeformulare erlauben. Generell sollten Browserentwickler und Standardisierungsgremien prüfen, wie etwas durch nicht vertrauenswürdige Skripte missbraucht werden kann.“

Schon Ende November 2017 hatten die Princeton-Forscher auf sogenannte Session-Replay-Skripte aufmerksam gemacht. Sie erlauben es Websitebetreibern, jegliche Interaktion von Nutzern mit ihren Online-Angeboten nachzuvollziehen. Ihrer Studie zufolge landen in Webformulare eingebebene Daten auch dann beim Betreiber der Seite, wenn das Formular nicht gespeichert und der Vorgang abgebrochen wird. Die Skripte sollen sogar in der Lage sein, versehentlich über die Zwischenablage eingefügte Inhalte zu erfassen.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Browser, Privacy, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Websites missbrauchen Passwort-Manager für User-Tracking

Kommentar hinzufügen
  • Am 4. Januar 2018 um 20:59 von Sunny Marx

    Autofil-Hack in Browsern

    Ablauf: Ein Werbescript simuliert im Hintergrund ein Login-Fenster des Dienstes, von dem die Daten abgegriffen werden sollen. Die Autofil-Funktion des Browsers findet das Formular und trägt bereitwillig die Nutzerdaten ein. Das Script stellt die Veränderung fest und überträgt die Daten an das Werbenetzwerk oder andere dubiose Gestalten. Angriff erfolgreich, Daten ausgespäht.

    Gegenwehr 1: Einfach keine Anmeldedaten vom Browser speichern lassen. Das ist allerdings in der heutigen Zeit keine sinnvolle Lösung, da es zu viele Dienste gibt, die man Tag für Tag nutzt.

    Gegenwehr 2: Dem Browser das Autofil abgewöhnen. Die Zugangsdaten können gespeichert werden, werden jedoch erst eingetragen, wenn man sie explizit ausgewählt und angeklickt hat.

    Howto für Firefox:
    1. Im Firefox folgende Adresse in die Adresszeile eingeben
    2. about:config
    3. Sicherheitswarnungen lesen und bestätigen
    4. Suchen nach: „autofill“
    5. Die Zeile mit „signon.autofillForms“ doppelt anklicken, so das bei Wert „false“ steht.
    6. Tab oder Browser schließen
    7. Fertig.
    Ab sofort werden gespeicherte Daten nicht mehr von alleine ins Feld eingetragen, sondern es erfordert einen Klick auf ein Feld, in dem dann eine Auswahl präsentiert wird, in der man per Klick einen Eintrag auswählt.
    Versteckte Formulare kann man nicht anklicken, somit wird keine Auswahl angezeigt und man kann auch nicht ausversehen ein Ausfüllen auslösen. Der Angriff schlägt fehl, Ziel erreicht.

    Andere Browser: Bei anderen Browsern muss man die Suchmaschine der Wahl benutzen, um zu erfahren, wie man die Autofill-Funktion abschaltet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *