Autocomplete: Browser verraten vertrauliche Daten [Update]
Mithilfe der automatischen Vervollständigung von Formulardaten können sich Datendiebe vertrauliche Informationen erschleichen.
- Ronald Eikenberg
Wer seinen Browser gestattet, häufig wiederkehrende Angaben in Formularen, etwa Namen oder Mailadresse, automatisch auszufüllen, ist unter Umständen ein leichtes Ziel für Datendiebe. Dies betont Jeremiah Grossman von White Hat Security im Vorfeld seines Black-Hat-Vortrags gegenüber The Register. So könne man bei Safari 4 und 5 die Autocomplete-Daten automatisiert über JavaScript abfragen.
Die Vervollständigung springt erst nach der Eingabe eines Zeichens an. Das Script probiert daher sämtliche Anfangsbuchstaben in typisch benannten Formularfeldern wie Name, Mailadresse oder Kreditkartennummer auf einer präparierten Webseite durch. Vervollständigt der Browser den Buchstaben zu einem ganzen Wort, wertet das Script den eingesetzten Wert aus. Das kann mit versteckten Formularfelder sogar unsichtbar erfolgen.
Grossman hat Apple am 17. Juni über das Datenleck informiert, außer einer automatischen Empfangsbestätigung habe er jedoch bislang keine Antwort erhalten. In ähnlicher Form war dieses Angriffsszenario schon bei Microsofts Internet Explorer in Version 6 und 7 bekannt. In Verbindung mit Cross Site Scripting seien zudem Chrome und Firefox angreifbar: Auf diesem Wege gelangt man auch an Daten, welche die Auto-Completion des Browsers nur in die dazugehörige Webseite einträgt – etwa Login-Informationen. Das demonstriert bereits der Artikel Passwortklau für Dummies auf heise Security.
Außerdem zeigt Grossman auf der Black-Hat-Konferenz, dass beliebige Webseiten sämtliche im Browser gespeicherten Cookies vernichten können. Hierzu sendet man eine große Anzahl Cookies an den Browser, der ab einer gewissen Anzahl die ältesten kurzerhand überschreibt - unabhängig von ihrer Herkunft. So soll bei Firefox nach 2,5 Sekunden und 3000 Cookies nichts mehr von den ursprünglichen Keksen übrig sein.
[Update]:
Inzwischen hat Grossman auch eine Proof-of-Concept-Seite ins Netz gestellt. Auf unserem Testrechner hat das Script innerhalb einer halben Minute zuverlässig Name, Firma, Wohnort, Bundesland, Land und die Mailadresse des angemeldeten Benutzers ermittelt. Als Browser kam die aktuelle Safari-Version 5.0 unter Windows 7 zum Einsatz.
(rei)