Anzeige
Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Browser preventDefault() ermöglicht Passwortklau

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Anzeige

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.


derVerzweifler 05. Dez 2012

Willst du mir ernsthaft unterstellen, dass ich das Vorgehen nicht verstehe? Hast du...

Ovaron 05. Dez 2012

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er...

lear 05. Dez 2012

Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt...

FibreFoX 04. Dez 2012

Ich kann ja verstehen, dass dies eine Art Risiko darstellt, wenn Tastenkürzel abgegriffen...

azeu 04. Dez 2012

Wenn es auf der Seite um vermeintlich geknackte FB-Passwörter geht, dann weiß der Hacker...

Kommentieren



Anzeige

  1. Junior PLM Development Ingenieur (m/w)
    MBtech Group GmbH & Co. KGaA, Großraum Stuttgart
  2. Business Consultant (m/w) SAP-Template Ersatzteile Wholesale
    Daimler AG, Stuttgart
  3. Frontend Developer (m/w) JavaScript / AngularJS
    über personal total GmbH München-Riem, München
  4. (Senior-) Software Ingenieur (m/w) für agile Großprojekte
    Capgemini Deutschland GmbH, Nürnberg

Detailsuche


Spiele-Angebote
  1. Xbox One 1 TB Tom Clancy’s The Division Bundle
    399,99€
  2. Xbox-360-Spiele für je 6,99€
    (u. a. Halo 4, Fable Anniversary, Dance Central 3, Kinectimals mit Bären)
  3. VORBESTELLBAR: Overwatch - Collector's Edition [PC/PS4/Xbox 360]
    129,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Escape Dynamics

    Firma für mikrowellenbetriebene Raumschiffe ist bankrott

  2. Deutsche Bahn

    Wlan für alle ICE-Fahrgäste möglicherweise erst 2017

  3. Die Woche im Video

    Raider heißt jetzt Twix ...

  4. Alpenföhn

    Der Olymp soll 340 Watt an Leistung abführen

  5. Eurocom X9E

    Monster-Notebook nutzt Diamant- und Flüssigmetallpaste

  6. Willkürliche Festsetzung

    Schwedische Regierung spottet über Assange

  7. IoT statt Smartphones

    Mozilla gibt Firefox OS schneller auf als erwartet

  8. Rise of the Tomb Raider

    Update schafft Klarheit

  9. Time Machine VR angespielt

    Wir tauchen mit den Monstern der Tiefe

  10. KEF

    Kommission empfiehlt Senkung des Rundfunkbeitrags



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xcom 2 im Test: Strategie wie vom anderen Stern
Xcom 2 im Test
Strategie wie vom anderen Stern
  1. Vorschau Spielejahr 2016 Cowboys und Cyberspace
  2. Xcom 2 angespielt Mit Strategie die Menschheit retten

Verschlüsselung: Nach Truecrypt kommt Veracrypt
Verschlüsselung
Nach Truecrypt kommt Veracrypt

Sèbastien Loeb Rally Evo im Test: Mit dem Weltmeister über Stock und Stein
Sèbastien Loeb Rally Evo im Test
Mit dem Weltmeister über Stock und Stein
  1. Dirt Rally im Test Motorsport für Fortgeschrittene
  2. Rockstar Games Jede Kugel zählt in GTA Online
  3. Microsoft Forza 6 bekommt Mikrotransaktionen

  1. Investitionsblase?

    Bujin | 12:35

  2. Re: Netscape scheint immer noch durch

    Lapje | 12:35

  3. Es ist halt technisch sehr anspruchsvoll...

    postb1 | 12:31

  4. Re: Ich wette, das Spiel wird nicht so wie der...

    lear | 12:28

  5. Re: Droht Windows Mobile das selbe Schicksal?

    Lapje | 12:26


  1. 11:52

  2. 11:28

  3. 09:01

  4. 21:49

  5. 16:04

  6. 15:45

  7. 15:18

  8. 15:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel