Spionagegefahr durch Tabbed-Browsing

Secunia warnt in einem Advisory vor Gefahren, wenn Browser mehrere Seiten in einem Fenster darstellen. Scheinbar inaktive Seiten können dabei Anwender ausspionieren.

In Pocket speichern vorlesen Druckansicht 487 Kommentare lesen
Lesezeit: 2 Min.

Die Sicherheitsfirma Secunia warnt in einem Advisory vor Gefahren, wenn Browser mehrere Seiten in einem Fenster darstellen, was oft als Tabbed-Browsing bezeichnet wird. Das Grundproblem dabei ist, dass auch verdeckte Seiten Skriptbefehle ausführen können, der Anwender jedoch denkt, er interagiere mit der im Vordergrund dargestellten Seite. So landen unter Umständen Eingaben mit Passwörtern oder anderen wichtigen Daten auf dem falschen Server.

Secunia demonstriert das Problem mit zwei Szenarien. In einem öffnet der Anwender eine Seite der Citibank in einem neuen Tab. Dann öffnet sich eine Dialogbox, die Informationen abfragt. Dieses Dialogfenster erscheint unter Umständen vor der Citibank-Seite, wird aber von der ursprünglichen Demo-Seite gesteuert. Diese erhält folglich auch alle Eingaben des Anwenders.

Bei der zweiten Demo setzt ein im Hintergrund regelmäßig ausgeführter JavaScript-Befehl den Fokus auf ein Eingabeformular der Demo-Seite. Wenn der Anwender eine neue Seite in einem neuen Tab öffnet und versucht, dort etwas einzugeben, landet es somit immer im Eingabeformular der versteckten, aber immer noch aktiven Demo-Seite.

Obwohl teilweise anders berichtet, ist es nicht unbedingt erforderlich, dass der Anwender wie bei den Secunia-Demos die auszuspionierende Seite von der bösen aus öffnet, indem er dort auf einen Link klickt. Voraussetzung ist lediglich, dass beide Seiten im selben Fenster als Tabs dargestellt werden.

Betroffen sind alle Browser, die Tabbed-Browsing unterstützen, also unter anderem Mozilla, Opera, Konqueror und Safari. Microsofts Internet Explorer kennt keine Tabs, wer jedoch Erweiterungen wie Avant oder Maxthon (früher MyIE2) einsetzt, ist ebenfalls anfällig. Laut Secunia hat Opera versprochen, das Problem in Release 7.60 zu beseitigen. Das Abschalten von JavaScript macht diese Art von Missbrauch zwar unmöglich, bedeutet allerdings auch, dass viele Seiten nicht mehr funktionieren. Um diese unerwünschte Interaktionen zwischen Seiten auszuschließen, genügt es jedoch, Seiten, die die Eingabe von wichtigen Daten erfordern, immer in einem eigenen Fenster -- oder noch besser in einer frischen Browser-Instanz zu öffnen.

Siehe dazu auch: (ju)