Gmail, Facebook und mehr: Chrome-Erweiterungen lesen Passwörter im Klartext aus
Forscher von der University of Wisconsin-Madison haben festgestellt, dass viele namhafte Webportale Passwörter und andere sensible Daten von Benutzern im Klartext im HTML-Quellcode zwischenspeichern, so dass bösartige Chrome-Erweiterungen diese auslesen können. Problematisch sei diesbezüglich auch das Berechtigungsmodell für die Browsererweiterungen, das gegen fundamentale Sicherheitsprinzipien verstoße.
Bleeping Computer berichtet(öffnet im neuen Fenster) , es sei vielen Chrome-Extensions möglich, uneingeschränkt auf den DOM-Baum einer vom Anwender besuchten Webseite zuzugreifen. Dort gebe es keinerlei Sicherheitsgrenze, so dass eine Erweiterung stets die Inhalte sensibler Webseitenelemente auslesen könne, zu denen etwa auch Passwort- und andere Eingabefelder gehören. Selbst die umstrittene Erweiterungs-API Manifest V3 biete keinen zuverlässigen Schutz vor der Exfiltration sensibler Nutzerinformationen durch eine Chrome-Extension.
Um die Tragweite ihrer Erkenntnisse zu evaluieren, erstellten die Forscher eine Proof-of-Concept-Erweiterung und stellten diese im Chrome Web Store bereit. Sie tarnten die Extension als eine Art GPT-basierten Assistenten und lieferten Google eine passende Argumentation, um den Zugriff auf die Eingabefelder besuchter Webseiten zu rechtfertigen. Dadurch wurde die Erweiterung nicht als potenzielle Bedrohung erkannt und bestand folglich die Sicherheitsprüfungen des Store-Betreibers.
Erweiterungen können Passwörter von Gmail und Facebook stehlen
Wie die Forscher in einem vor wenigen Tagen veröffentlichten Paper (PDF)(öffnet im neuen Fenster) erklären, förderten ihre Untersuchungen unter den "Top 10.000 Domains" insgesamt 1.100 Webseiten zutage, die Passwörter ihrer Besucher im Klartext im HTML-DOM ablegen. Dazu gehören auch namhafte Webportale wie Gmail oder Cloudflare. Auch auf anderen Seiten wie jenen von Facebook oder Citibank sei es den Forschern möglich gewesen, die Benutzerpasswörter unter Einsatz der DOM-API zu extrahieren. Auf Amazon seien hingegen Kreditkartendaten inklusive zugehöriger Sicherheitscodes auslesbar gewesen.
Mehr als 17.000 Chrome-Extensions haben die nötigen Privilegien
Rund 17.300 Erweiterungen im Chrome Web Store sollen ferner über die erforderlichen Berechtigungen verfügen, um "sensible Informationen von allen Webseiten zu extrahieren" . Auch weitverbreitete Werbeblocker und Shopping-Extensions mit Millionen von Installationen wie Adblock Plus oder Honey gehören dazu. Insgesamt 190 Chrome-Extensions sollen sogar tatsächlich auf Passwortfelder zugreifen, was darauf hindeutet, dass einige Anbieter bereits aktiv Gebrauch von der Sicherheitslücke machen.
Ein Google-Sprecher soll Bleeping Computer erklärt haben, dass die Angelegenheit bereits untersucht werde. Den Security-FAQ für Chrome-Extensions zufolge(öffnet im neuen Fenster) sei der Zugriff auf Passwortfelder aber nicht als Sicherheitsproblem einzustufen, sofern eine Erweiterung die Berechtigungen dafür ordnungsgemäß einhole.