Zugangsdaten in Gefahr

Browser-Erweiterungen nicht blind vertrauen

Auch wenn Google Chrome als sehr sicherer Browser gelten mag - es ist dennoch Vorsicht angebracht. Der Entwickler Andreas Grech hat demonstriert, wie sich mit einer Google-Chrome-Extension in Webseiten eingegebene Zugangsdaten ausspähen lassen.

Artikel veröffentlicht am ,
Zugangsdaten in Gefahr: Browser-Erweiterungen nicht blind vertrauen

Der auf Malta lebende Andreas Grech zeigt mit Beispielcode, dass es auch bei Google Chrome über Extensions möglich ist, unter anderem Benutzernamen und Passwörter auszulesen. Die Schadsoftware könnte sie dann etwa über E-Mail verschicken. Grech hat das mit seinen privaten Login-Daten bei Gmail, Facebook, Twitter und anderen bekannten Webseiten erfolgreich ausprobiert - im Google-Chrome-Repository ist seine Test-Extension nicht gelandet.

Das Auslesen von in Formulare eingegebenen Daten ist für die in Javascript und HTML geschriebenen Chrome-Extensions möglich, weil sie Zugriff auf das Document Object Model (DOM) erhalten. Immer wenn ein Nutzer ein Formular absendet, versucht Grechs einfache Erweiterung Username und Passwort abzufangen. Über einen Ajax-Aufruf werden sie dann inklusive einer E-Mail an Grech geschickt, danach wird dann das Formular ordnungsgemäß übermittelt, damit dem Benutzer nichts auffällt.

Grech will mit seinem Proof-of-Concept-Code vor allem den sorglosen Mitmenschen zeigen, dass das Thema Browsersicherheit nicht unterschätzt werden darf. Nur sehr wenige würden darüber nachdenken, was in einem Script vor sicht geht. Anderen Browser könnten ebenso anfällig für diesen Angriff sein, so Grech im eigenen Blog - wo auch der Beispielcode zu finden ist. Er habe sich aber für eine Demonstration mit Google Chrome entschieden, weil der Browser als der derzeit "sicherste Browser" gelte. Das will Grech nicht abstreiten, aber mahnt dazu, dennoch nicht blind fremder Software zu vertrauen, die in den Browser installiert wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Clint Westwood 15. Jul 2010

Wayne interessierts?

lxg 13. Jul 2010

Uff, kann ich gerade nicht genau sagen. Ich vermute schon, dass sich hinter $.ajax ein...

Heinze 12. Jul 2010

Wie man sieht hat keiner verstanden worauf du hinaus willst. Ja Erweiterungen sind...

Dick Darlington 12. Jul 2010

CHAP? Eigentlich müsste doch nur die Antwort auf eine Challenge übermittelt werden, und...



Aktuell auf der Startseite von Golem.de
Streaming
Netflix streicht Funktion aus drei Abomodellen

Künftig gibt es 3D-Raumklang alias Spatial Audio nur noch im teuersten Netflix-Abo. Wirbel entfacht eine Filmveröffentlichung in Japan.

Streaming: Netflix streicht Funktion aus drei Abomodellen
Artikel
  1. Microsoft Teams Premium: ChatGPT erstellt Protokolle und Kapitel in Teams-Meetings
    Microsoft Teams Premium
    ChatGPT erstellt Protokolle und Kapitel in Teams-Meetings

    Microsoft kündigt für das kommende Teams-Premium-Abo diverse KI-Funktionen an. ChatGPT und GPT 3.5 sollen Unternehmen viel Arbeit abnehmen.

  2. Project Ghost: Logitech entwickelt Videokabine mit lebensgroßer Darstellung
    Project Ghost
    Logitech entwickelt Videokabine mit lebensgroßer Darstellung

    Für seine Videokabine Project Ghost verwendet Logitech einen Halbspiegel und Hardware, die bereits verfügbar ist.

  3. Software: Wie Entwickler Fehler aufspüren - oder gleich vermeiden
    Software
    Wie Entwickler Fehler aufspüren - oder gleich vermeiden

    Es gibt zahlreiche Arten von Softwarefehlern. Wir erklären, welche Testverfahren sie am zuverlässigsten finden und welche Methoden es gibt, um ihnen vorzubeugen.
    Von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G5 Curved 27" WQHD 260,53€ • Graka-Preisrutsch bei Mindfactory • Samsung Galaxy S23 jetzt vorbestellbar • Philips Hue 3x E27 + Hue Bridge -57% • PCGH Cyber Week • Dead Space PS5 -16% • PNY RTX 4080 1.269€ • Bis 77% Rabatt auf Fernseher • Roccat Kone Pro -56% [Werbung]
    •  /