Passwort-Manager von Firefox erleichtert Phishern die Arbeit [Update]

Der Passwort-Manager trägt Anmeldedaten in Login-Formulare automatisch ein, ohne zu prüfen, ob es aus dem richtigen Unterverzeichnis stammt und ob es an die richtige Adresse geschickt wird. Auf MySpace.com wird so bereits gephisht.

In Pocket speichern vorlesen Druckansicht 267 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Eine neue Möglichkeit, Passwörter abzuphishen, wird derzeit in der Fehlerdatenbank der Mozilla-Foundation diskutiert. So trägt Firefox Nutzernamen und Passwörter automatisch in Anmeldeformulare bekannter Seiten ein, sofern der Anwender dem Firefox-Passwort-Manager erlaubt, die Login-Daten dafür zu speichern. Allerdings merkt sich der Passwort-Manager der Mozilla-Foundation nur, zu welcher Domain diese Login-Daten gehören. Er merkt sich aber nicht, aus welchem Unterverzeichnis und welcher HTML-Datei das Formular stammte. Zudem prüft Firefox nicht, an welche Adresse die automatisch eingetragenen Daten verschickt werden.

So ist es beispielsweise möglich, in einen Auftritt auf MySpace.com ein eigenes Login-Formular zu platzieren, in das Firefox den Namen und das Passwort eines MySpace-Besuchers selbstständig einträgt. Zwar ist zum Abschicken des Formulars ein Klick auf den Submit-Button durch das Opfer erforderlich, das lässt sich aber so geschickt tarnen, dass der Anwender gar nicht merkt, dass er ein Formular versendet. Dazu genügt es, dem Submit-Button einen verlockenden Namen zu geben und die Formularfelder etwa durch geschickte Farbwahl oder durch Überdecken mit anderen Inhalten unsichtbar zu machen. Zudem lässt sich durch JavaScript ein Formular auch ohne Nutzerinteraktion mit der Methode submit verschicken.

Aktuell gibt es auf MySpace.com bereits einen Fall, der diesen Trick ausnutzt, um abgephishte Login-Daten an einen Lycos-Server zu schicken. Im Test der heise-Security-Redaktion bestätigte sich das Problem mit Firefox: Unabhängig vom Ort eines aufgerufenen HTML-Dokumentes mit einem Formular trug der Browser die Daten ein und überprüfte das Ziel beim Abschicken nicht. Der Internet Explorer 7 zeigte diese Verhalten nicht: Er merkte sich, zu welchem Unterverzeichnis das Formular gehört. Zum Abphishen muss ein Angreifer also ein Formular in eine vertrauenswürdige Seite einschleusen, was allerdings aufgrund von Fehlern in Webauftritten auch keine große Hürde mehr ist. Die aktuelle Version von Opera trägt grundsätzlich gar keine Daten automatisch ein, vielmehr muss man mit dem Zauberstab die passenden Anmeldeinformationen auswählen.

Update:
heise Security/UK stellt auf dem Browsercheck eine Demo bereit, die dieses Problem illustriert. Dabei werden Username und Passwort von einer "bösen Seite" ohne Interaktion mit dem Benutzer an einen fremden Server übertragen.

Siehe dazu auch:

(dab)