Kein Patch verfügbar: Forscher demonstrieren Windows-Passwortklau über den Browser
Inhalt
Sicherheitsforscher von Certitude haben eine bisher ungepatchte Schwachstelle aufgedeckt, die sowohl Chromium als auch Firefox und damit eine Vielzahl gängiger Webbrowser betrifft. Angreifer können damit überzeugende Phishing-Fallen aufstellen und Zugangsdaten abgreifen. Sofern bestimmte Bedingungen erfüllt sind, ist der Angriff selbst für technisch versierte Anwender schwer erkennbar. Ein Patch ist wohl nicht zu erwarten.
Die Forscher demonstrieren das Problem in einem kurzen Videoclip auf Youtube(öffnet im neuen Fenster) . Dort ist ein Anwender zu sehen, der auf einer Webseite ein Cookie-Banner bestätigt. Daraufhin wird er scheinbar für einige Sekunden mit Grafikproblemen konfrontiert. Zum Schluss folgt ein Windows-Anmeldebildschirm, auf dem er sein Passwort eingibt, das sogleich beim Angreifer landet.
Vollbild ohne Warnung
Was dabei im Hintergrund passiert, schildern die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) . Bei dem Cookie-Banner handelt es sich demnach um eine Fälschung, die der Angreifer gezielt auf seiner Webseite platziert hat. Durch das Akzeptieren der Cookies bestätigt der Nutzer unbewusst, dass die Seite Inhalte im Vollbildmodus darstellen darf.
Normalerweise blendet der Browser daraufhin eine kurze Hinweismeldung ein, dass der Vollbildmodus aktiviert wurde und dieser mit der Esc-Taste wieder verlassen werden kann. Doch an dieser Stelle kommen die angeblichen Grafikprobleme ins Spiel. Diese werden als Ablenkung eingeblendet, so dass der Nutzer annimmt, der Browser oder sein System habe sich gerade aufgehängt.
Im Hintergrund werden währenddessen beispielsweise durch WebGL-Shader-Operationen mit einer Endlosschleife die GPU-Ressourcen des Systems ausgelastet. Dies hat zur Folge, dass der Browser den Vollbild-Hinweis nicht rendern kann. Gleichzeitig werden Tastatureingaben über die Keyboard-Lock-API(öffnet im neuen Fenster) blockiert. Der Nutzer müsste die Esc-Taste mehrere Sekunden gedrückt halten, um das zu umgehen.
Die hohe GPU-Auslastung wird so lange aufrecht erhalten, bis der Timer für die Warnmeldung abgelaufen ist, so dass der Nutzer diese niemals zu Gesicht bekommt. Laut Certitude funktioniert diese Täuschung in den meisten Fällen gut. In Einzelfällen kann der Vollbild-Hinweis aber noch kurz aufblitzen, was den Angriff bei aufmerksamen Nutzern unter Umständen auffliegen lässt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.