Browser preventDefault() ermöglicht Passwortklau

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Anzeige

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.


derVerzweifler 05. Dez 2012

Willst du mir ernsthaft unterstellen, dass ich das Vorgehen nicht verstehe? Hast du...

Ovaron 05. Dez 2012

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er...

lear 05. Dez 2012

Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt...

FibreFoX 04. Dez 2012

Ich kann ja verstehen, dass dies eine Art Risiko darstellt, wenn Tastenkürzel abgegriffen...

azeu 04. Dez 2012

Wenn es auf der Seite um vermeintlich geknackte FB-Passwörter geht, dann weiß der Hacker...

Kommentieren



Anzeige

  1. Softwareentwickler (m/w) Java EE
    D.O.M. Datenverarbeitung GmbH, Nürnberg, Ingolstadt
  2. Software-Entwickler (m/w)
    Elsner Elektronik GmbH, Gechingen
  3. Solution Architect SAP NetWeaver Platforms (m/w)
    evosoft GmbH, München
  4. SAP Inhouse Berater BI (m/w)
    SCHOTT AG, Mainz

 

Detailsuche


Folgen Sie uns
       


  1. Vic Gundotra

    Chef von Google Plus verlässt das Unternehmen

  2. Quartalsbericht

    Amazon weiter mit hohem Umsatz und etwas Gewinn

  3. Quartalsbericht

    Microsofts Gewinn und Umsatz fallen

  4. Element

    Schenkers Windows-Tablet ab 350 Euro - aber ohne Tastatur

  5. Epic Games

    Unreal Engine 4.1 mit Zugriff auf Konsolen-Quellcode

  6. Heartbleed-Bug

    Techfirmen zahlen Millionen für Open-Source-Sicherheit

  7. Sofortlieferung

    Base liefert Smartphone noch am gleichen Tag

  8. Leica T

    Teure Systemkamera mit Touchscreen

  9. The Elder Scrolls Online

    Inhaltserweiterung und Goldfarmer

  10. Sensabubble

    Display aus duftenden Seifenblasen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Test Hitman Go: Auftragskiller to go
Test Hitman Go
Auftragskiller to go

Knobeln statt knebeln: In Hitman Go verrichtet Agent 47 sein ebenso lautloses wie blutiges Handwerk auf ungewohnte Art und Weise: Statt Schleich-Action ist Denksport angesagt. Der Titel bleibt dem Kern der Hitman-Reihe trotzdem treu - und macht schnell süchtig.

  1. Square Enix Kernzielgruppe statt globales Massenpublikum

Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Windows 8.1 Update 1 im Test: Ein lohnenswertes Miniupdate
Windows 8.1 Update 1 im Test
Ein lohnenswertes Miniupdate

Microsoft geht wieder einen Schritt zurück in die Zukunft. Mit dem Update 1 baut der Konzern erneut Funktionen ein, die vor allem für Mausschubser gedacht sind. Wir haben uns das Miniupdate für Windows 8.1 pünktlich zur Veröffentlichung angesehen.

  1. Microsoft Installationsprobleme beim Windows 8.1 Update 1
  2. Windows 8.1 Update 1 Wieder mehr minimieren und schließen
  3. Microsoft Windows 8.1 Update 1 vorab verfügbar

    •  / 
    Zum Artikel