Zugangsdaten in Gefahr

Browser-Erweiterungen nicht blind vertrauen

Auch wenn Google Chrome als sehr sicherer Browser gelten mag - es ist dennoch Vorsicht angebracht. Der Entwickler Andreas Grech hat demonstriert, wie sich mit einer Google-Chrome-Extension in Webseiten eingegebene Zugangsdaten ausspähen lassen.

Anzeige

Der auf Malta lebende Andreas Grech zeigt mit Beispielcode, dass es auch bei Google Chrome über Extensions möglich ist, unter anderem Benutzernamen und Passwörter auszulesen. Die Schadsoftware könnte sie dann etwa über E-Mail verschicken. Grech hat das mit seinen privaten Login-Daten bei Gmail, Facebook, Twitter und anderen bekannten Webseiten erfolgreich ausprobiert - im Google-Chrome-Repository ist seine Test-Extension nicht gelandet.

Das Auslesen von in Formulare eingegebenen Daten ist für die in Javascript und HTML geschriebenen Chrome-Extensions möglich, weil sie Zugriff auf das Document Object Model (DOM) erhalten. Immer wenn ein Nutzer ein Formular absendet, versucht Grechs einfache Erweiterung Username und Passwort abzufangen. Über einen Ajax-Aufruf werden sie dann inklusive einer E-Mail an Grech geschickt, danach wird dann das Formular ordnungsgemäß übermittelt, damit dem Benutzer nichts auffällt.

Grech will mit seinem Proof-of-Concept-Code vor allem den sorglosen Mitmenschen zeigen, dass das Thema Browsersicherheit nicht unterschätzt werden darf. Nur sehr wenige würden darüber nachdenken, was in einem Script vor sicht geht. Anderen Browser könnten ebenso anfällig für diesen Angriff sein, so Grech im eigenen Blog - wo auch der Beispielcode zu finden ist. Er habe sich aber für eine Demonstration mit Google Chrome entschieden, weil der Browser als der derzeit "sicherste Browser" gelte. Das will Grech nicht abstreiten, aber mahnt dazu, dennoch nicht blind fremder Software zu vertrauen, die in den Browser installiert wird.

Kommentarübersicht
Re: Zugangsdaten in Gefahr - .exe-Dateien nicht...
Clint Westwood 15. Jul 2010

Wayne interessierts?

Re: Mit Ajax auf fremde Domain zugreifen??
lxg 13. Jul 2010

Uff, kann ich gerade nicht genau sagen. Ich vermute schon, dass sich hinter $.ajax ein...

Re: Erweiterungen sind per se ein...
Heinze 12. Jul 2010

Wie man sieht hat keiner verstanden worauf du hinaus willst. Ja Erweiterungen sind...

Re: Wieso gibt ein Passwot-Feld überhaupt den...
Dick Darlington 12. Jul 2010

CHAP? Eigentlich müsste doch nur die Antwort auf eine Challenge übermittelt werden, und...

Re: Was für ne Erkenntnis!
geronimo89 12. Jul 2010

Finde den Beitrag auch sehr schwach, da es wirklich ganz und garnicht erstaunlich ist...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Vice President - Research / Development (m/w)
    m:pro IT Consult GmbH, Wiesbaden
  2. Consultant Finance Processes & Applications (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  3. Softwareentwickler Vernetzung (m/w)
    Miele & Cie. KG, Gütersloh
  4. Mitarbeiter (m/w) Technischer Support
    über BüchnerPolzin Management- und Personalberatung, Großraum Stuttgart

 

Detailsuche

Folgen Sie uns
       
Videos
SSX - Trailer (Spielfigur Moby) SSX - Trailer (Spielfigur Moby)
Meistgelesen
  1. Tablet-Nachfolger

    iPad-3-Teile aufgetaucht
  2. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm
  3. Tim Schafer

    40.000 US-Dollar für einen Konsolenpatch
  4. ProLiant Gen8

    HP macht Server unabhängig
  5. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 192 | letzter Beitrag 11:50 Uhr

  3. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 183 | letzter Beitrag 12:03 Uhr

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 117 | letzter Beitrag 12:39 Uhr

  5. Acta-Demos: Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Kommentare: 96 | letzter Beitrag 13.02. 16:40

Mehr

Ticker
  1. HTC Velocity 4G

    Android-Smartphone mit LTE und 4,5-Zoll-Touchscreen

  2. Farmville & Co.

    Patentklage gegen Zynga

  3. Document Foundation

    Libreoffice 3.5 ist fertig

  4. Pegatron

    Übt Apple Druck auf OEM-Hersteller von Ultrabooks aus?

  5. Blackhole Toolkit

    Cryptome gehackt und mit Malware infiziert

  6. Piranha Bytes

    Risen 2 geht am 20. Februar in den geschlossenen Betatest

  7. Google

    EU und USA geben Kauf von Motorola frei

  8. Watchdog

    Mozilla visualisiert Wiederverwendung von Passwörtern

  9. Apple

    Apple-Aktie erreicht neuen Höchststand

  10. SSL

    Twitter macht HTTPS zum Standard

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Firefox
Desktop-Roadmap: Mozilla hat mit Firefox 2012 viel vor
Desktop-Roadmap
Mozilla hat mit Firefox 2012 viel vor

Mozilla hat seine Roadmap für die Desktopversion von Firefox aktualisiert und plant demnach für 2012 zahlreiche Neuerungen. Firefox bekommt ein Login, soll als Metro-Version für Windows 8 umgesetzt werden, Nutzer besser vor Tracking schützen und schneller werden.

  1. Browser Firefox 10.0.1 bringt Fehlerkorrekturen
  2. Firefox Neue Seite für neue Tabs
  3. Firefox Updates in aller Stille
Suchmaschine
Bing, Blekko, Duck Duck Go: Googeln ohne Google?
Bing, Blekko, Duck Duck Go
Googeln ohne Google?

Die überarbeitete Version der Google-Suche "Search, plus Your World" hat heftige Debatten ausgelöst. Vor allem der Datenschutz steht mal wieder im Vordergrund der Kritik. "Geht es eigentlich auch ohne Google?", fragen sich daher viele Nutzer. Der Blogger Marcel Weiß hat es 18 Monate lang getestet.

  1. "Focus on the User" Facebook und Twitter zeigen Google, wie soziale Suche geht
  2. Neuer Algorithmus Google straft Seiten mit zu viel Werbung ab
  3. Theseus-Projekt Quote soll die erste Zitate-Suchmaschine Deutschlands werden
WOA - Windows on ARM
WOA: Windows 8 für ARM im Detail
WOA
Windows 8 für ARM im Detail

Mit Windows on ARM (WOA) will Microsoft ein neues System mit einer ganz neuen Art von PCs etablieren. Damit Windows 8 auf ARM performant läuft und lange Akkulaufzeiten ermöglicht, musste Microsoft einige Kompromisse machen.

  1. Windows 8 auf ARM Microsoft zeigt Office 15
Forumsbeiträge »
  1. Samsung Fernseher mit Gesichtserkennung für Zuschauer

    Re: Weswegen?

    Gu4rdi4n | 13:04

  2. Tim Schafer 40.000 US-Dollar für einen Konsolenpatch

    Re: Ein Spielertraum wird wahr

    Seradest | 13:02

  3. Club-Mate Hack fürs Hirn

    Re: Mate als Genussmittel + Rezept!

    blacktroll | 13:02

  4. Tim Schafer 40.000 US-Dollar für einen Konsolenpatch

    Re: Zum Kotzen: Guter Support wird bestraft!

    Rapmaster 3000 | 13:02

  5. Galaxy S2 mit Android 2.3.6 Update wegen Abstürzen zurückgezogen?

    Das Problem existiert schon ewig

    Basti123 | 13:00

Ticker »
  1. HTC Velocity 4G Android-Smartphone mit LTE und 4,5-Zoll-Touchscreen

    12:28

  2. Farmville & Co. Patentklage gegen Zynga

    12:12

  3. Document Foundation Libreoffice 3.5 ist fertig

    12:02

  4. Pegatron Übt Apple Druck auf OEM-Hersteller von Ultrabooks aus?

    11:56

  5. Blackhole Toolkit Cryptome gehackt und mit Malware infiziert

    11:44

  6. Piranha Bytes Risen 2 geht am 20. Februar in den geschlossenen Betatest

    11:34

  7. Google EU und USA geben Kauf von Motorola frei

    11:25

  8. Watchdog Mozilla visualisiert Wiederverwendung von Passwörtern

    11:11

Zum Artikel