Browser: preventDefault() ermöglicht Passwortklau

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Artikel veröffentlicht am ,
Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Stellenmarkt
  1. Informatiker (m/w/d)
    Technische Hochschule Ingolstadt, Ingolstadt
  2. Trainee Softwareentwicklung (m/w/d)
    andagon people GmbH, Köln
Detailsuche

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
Weitere IT-Trainings

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


derVerzweifler 05. Dez 2012

Willst du mir ernsthaft unterstellen, dass ich das Vorgehen nicht verstehe? Hast du...

Ovaron 05. Dez 2012

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er...

lear 05. Dez 2012

Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt...

FibreFoX 04. Dez 2012

Ich kann ja verstehen, dass dies eine Art Risiko darstellt, wenn Tastenkürzel abgegriffen...



Aktuell auf der Startseite von Golem.de
Machine Learning
Die eigene Stimme als TTS-Modell

Mit Machine Learning kann man ein lokal lauffähiges und hochwertiges TTS-Modell der eigenen Stimme herstellen. Dauert das lange? Ja. Braucht man das? Nein. Ist das absolut nerdig? Definitv!
Eine Anleitung von Thorsten Müller

Machine Learning: Die eigene Stimme als TTS-Modell
Artikel
  1. US-Streaming: Abonnenten immer unzufriedener mit Netflix
    US-Streaming
    Abonnenten immer unzufriedener mit Netflix

    Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

  2. Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
    Krypto-Gaming
    Spieleentwickler wollen nichts mit NFT zu tun haben

    Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
    Von Daniel Ziegener

  3. Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
    Mojo Lens
    Erster Tragetest mit Augmented-Reality-Kontaktlinse

    Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (G.Skill Trident Z Neo 32 GB DDR4-3600 149€) • The Quarry + PS5-Controller 99,99€ • Alternate (Acer Nitro QHD/165 Hz 246,89€, Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /