Original-URL des Artikels: http://www.golem.de/news/browser-preventdefault-ermoeglicht-passwortklau-1212-96106.html    Veröffentlicht: 04.12.2012 09:28

Browser

preventDefault() ermöglicht Passwortklau

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.  (ji)


Verwandte Artikel:
Sicherheit: Auch Chrome hält Hackerattacken nicht stand   
(08.03.2012 16:00, http://www.golem.de/news/sicherheit-auch-chrome-haelt-hackerattacken-nicht-stand-1203-90370.html)
Chrome-17-Beta: Googles Browser soll schneller und sicherer werden   
(06.01.2012 09:02, http://www.golem.de/1201/88841.html)
Google: Chrome 14 ist fertig   
(16.09.2011 19:37, http://www.golem.de/1109/86515.html)
Patchday: Viele Sicherheitslücken in Windows und im Internet Explorer   
(15.06.2011 11:51, http://www.golem.de/1106/84207.html)
Browser: Opera 11.11 schließt Sicherheitslücke   
(18.05.2011 10:54, http://www.golem.de/1105/83567.html)

© 2014 by Golem.de