Zugangsdaten in Gefahr: Browser-Erweiterungen nicht blind vertrauen

Auch wenn Google Chrome als sehr sicherer Browser gelten mag - es ist dennoch Vorsicht angebracht. Der Entwickler Andreas Grech hat demonstriert, wie sich mit einer Google-Chrome-Extension in Webseiten eingegebene Zugangsdaten ausspähen lassen.

11. Juli 2010 um 13:07 Uhr / Christian Klaß

70 Kommentare News folgen (öffnet im neuen Fenster)

Der auf Malta lebende Andreas Grech zeigt mit Beispielcode, dass es auch bei Google Chrome über Extensions möglich ist, unter anderem Benutzernamen und Passwörter auszulesen. Die Schadsoftware könnte sie dann etwa über E-Mail verschicken. Grech hat das mit seinen privaten Login-Daten bei Gmail, Facebook, Twitter und anderen bekannten Webseiten erfolgreich ausprobiert - im Google-Chrome-Repository ist seine Test-Extension nicht gelandet.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Team-Lead IT (m/w/d) Wohnungsgenossenschaft Freiberg eG, Freiberg (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) R+W, Wörth am Main (öffnet im neuen Fenster)

Systemadministrator Microsoft 365 (m/w/d) Dürr CTS GmbH, Bietigheim-Bissingen (öffnet im neuen Fenster)

IT-Expert:in Linux (m/w/d) Universität Hohenheim, Stuttgart (öffnet im neuen Fenster)

Mitarbeiter*in eAkte/DMS-Umsetzung (m/w/d) Hochschule Hamm-Lippstadt, Lippstadt (öffnet im neuen Fenster)

Mitarbeiter (m/w/d) für den Aufbau der Anwenderbetreuung Digital Waste Shipment System (DIWASS) GOES mbH, Neumünster (öffnet im neuen Fenster)

Senior Application Engineer Microsoft 365 & Power Platform (m/w/d) Flossbach von Storch SE, Köln (öffnet im neuen Fenster)

IT Security Analyst (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Das Auslesen von in Formulare eingegebenen Daten ist für die in Javascript und HTML geschriebenen Chrome-Extensions möglich, weil sie Zugriff auf das Document Object Model (DOM) erhalten. Immer wenn ein Nutzer ein Formular absendet, versucht Grechs einfache Erweiterung Username und Passwort abzufangen. Über einen Ajax-Aufruf werden sie dann inklusive einer E-Mail an Grech geschickt, danach wird dann das Formular ordnungsgemäß übermittelt, damit dem Benutzer nichts auffällt.

Grech will mit seinem Proof-of-Concept-Code vor allem den sorglosen Mitmenschen zeigen, dass das Thema Browsersicherheit nicht unterschätzt werden darf. Nur sehr wenige würden darüber nachdenken, was in einem Script vor sicht geht. Anderen Browser könnten ebenso anfällig für diesen Angriff sein, so Grech im eigenen Blog(öffnet im neuen Fenster) - wo auch der Beispielcode zu finden ist. Er habe sich aber für eine Demonstration mit Google Chrome(öffnet im neuen Fenster) entschieden, weil der Browser als der derzeit "sicherste Browser" gelte. Das will Grech nicht abstreiten, aber mahnt dazu, dennoch nicht blind fremder Software zu vertrauen, die in den Browser installiert wird.

Zur Startseite 70 Kommentare

Reklame Hier geht es zu den aktuellen Blitzangeboten bei Amazon

Chrome: Google zahlt für gefundene Sicherheitslücken

500 US-Dollar pro gefundenem Sicherheitsleck. Google hat für den Browser Chrome eine neue Sicherheitsinitiative ins Leben gerufen. Künftig gibt es 500 US-Dollar für das Melden einer Sicherheitslücke in Chrome, sofern der Fehler von freiwilligen Helfern gefunden wurde. Das Angebot gilt auch für Chromium, der Open-Source-Ausführung von Chrome.

Relevante Themen