Abo
  • Services:
Anzeige
Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Browser: preventDefault() ermöglicht Passwortklau

Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Anzeige

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.


eye home zur Startseite
derVerzweifler 05. Dez 2012

Willst du mir ernsthaft unterstellen, dass ich das Vorgehen nicht verstehe? Hast du...

Ovaron 05. Dez 2012

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er...

lear 05. Dez 2012

Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt...

FibreFoX 04. Dez 2012

Ich kann ja verstehen, dass dies eine Art Risiko darstellt, wenn Tastenkürzel abgegriffen...

azeu 04. Dez 2012

Wenn es auf der Seite um vermeintlich geknackte FB-Passwörter geht, dann weiß der Hacker...



Anzeige

Stellenmarkt
  1. ENERTRAG Aktiengesellschaft, Berlin
  2. operational services GmbH & Co. KG, Frankfurt
  3. Der Polizeipräsident in Berlin, Berlin
  4. Diehl Comfort Modules, Hamburg


Anzeige
Top-Angebote
  1. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€)
  2. (u. a. 5€ Gratis-PSN-Guthaben zur PlayStation-Plus-Mitgliedschaft)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Nintendo

    Super Mario Run für iOS läuft nur mit Onlineverbindung

  2. USA

    Samsung will Note 7 in Backsteine verwandeln

  3. Hackerangriffe

    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

  4. Free 2 Play

    US-Amerikaner verzockte 1 Million US-Dollar in Game of War

  5. Die Woche im Video

    Bei den Abmahnanwälten knallen wohl schon die Sektkorken

  6. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  7. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  8. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  9. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  10. Kein Internet

    Nach Windows-Update weltweit Computer offline



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: mit Linux...

    sg-1 | 17:26

  2. Re: Interesssanter Effekt - dieses Free2Play

    Welpenschutz | 17:25

  3. Re: Thema verfehlt

    rgw-virus | 17:20

  4. Re: Diese ganzen angeblichen F2P sollte man...

    Olga Maslochov | 17:19

  5. Re: Class Action Suit...

    Niaxa | 17:17


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel