Firefox-Erweiterung klaut Sitzungen bei Facebook, Twitter und Co.

Die auf der ToorCon vorgestellte Firefox-Erweiterung Firesheep demonstriert eindrucksvoll, wie leicht sich Angreifer Zugriff auf Benutzeraccounts anderer Netzwerknutzer verschaffen können, wenn sie im gleichen Netz – etwa in einem unverschlüsselten WLAN – unterwegs sind. Nach einem Klick auf den Start-Button tauchen in der Sidebar nach und nach die Benutzer-Accounts der anderen Nutzer auf, sobald diese auf einer der vielen unterstützten Web-Angeboten herumsurfen. Derzeit werden unter anderem Facebook, Twitter, Flickr, Amazon, Windows Live und auch Google unterstützt. Klickt der Angreifer auf einen der gesammelten Einträge, zu dem Firesheep oft gleich auch noch Namen und Benutzerbild des Opfers anzeigt, ist er mit allen Rechten auf der jeweiligen Seite eingeloggt.

Firesheep hat es nicht auf das Passwort abgesehen, sondern übernimmt die aktive Session anhand des Cookies, der mit jedem Seitenaufruf – meist unverschlüsselt – übertragen wird. Viele Dienste wickeln nur den eigentlichen Login-Vorgang verschlüsselt ab. Ganz neu ist dieses Angriffsszenario nicht: Robert Graham von Errata Security hat das in ähnlicher Form bereits vor drei Jahren auf der Black-Hat-Konferenz demonstiert.

Firesheep läuft unter Mac OS X und Windows. Unter Windows setzt es die Installation von WinPcap voraus. Die Unterstützung für weitere Seiten kann der Angreifer über Scripte hinzufügen. Viele der betroffenen Webseiten bieten durchaus die Option, sämtliche Anfragen verschlüsselt über HTTPS abzuwickeln, was den Cookie-Klau verhindert. Die Firefox-Erweiterung HTTPS Everywhere wechselt bei bekannten Seiten automatisch auf die verschlüsselte Version, sofern eine solche angeboten wird. (rei)