Blogger demonstrieren gewieften Passwortklau

Kriminelle haben Daten gestohlen, die nun in einer Liste im Internet stehen. Um zu prüfen, ob man zu den Betroffenen gehört, wird die Liste schnell durchsucht - mit der Tastenkombination Strg+F. Da ist die Falle schon zugeschnappt.

In Pocket speichern vorlesen Druckansicht 214 Kommentare lesen
Lesezeit: 2 Min.

Mitarbeiter der Firma Neophasis haben herausgefunden, dass mit relativ einfachen Mitteln Passwörter und andere Nutzerdaten per JavaScript-Modifikationen aus Web-Browsern abgegriffen werden können. Dass der Diebstahl über eine oft genutzte Tastenkombination funktioniert, macht die Schwachstelle gefährlich.

Ist auch mein Passwort dabei? Nutzer sind schnell versucht mit Strg+F nach ihren Daten zu suchen.

(Bild: h43z )

Man stelle sich vor: Im Internet taucht eine Liste zu Passwörtern oder Kreditkartennummern auf, die nach Angriffen veröffentlicht wurden. Um zu testen, ob auch das eigene Passwort geknackt wurde, versucht der Nutzer schnell über die Tastenkombination Strg+F die eigenen Daten in der langen Liste zu finden. Die Suchbox die erscheint, ist allerdings nicht die Suchbox, die der Web-Browser normalerweise zur Verfügung stellt. Sie sieht etwas anders aus, aber das fällt zum Beispiel im Chrome-Browser kaum auf. Der Nutzer gibt sein Passwort oder andere sensible Daten in die scheinbar lokale Suchbox ein, um festzustellen, ob er betroffen ist – und mit dieser Eingabe sind die Daten dann auch schon geklaut. Über die Fake-Suchboxen, die via JavaScript eingebettet wurden, wurden die Daten weitergereicht.

Die kompromittierte Webseite von Neophasis macht auf den simulierten Datenklau aufmerksam.

(Bild: Neophasis )

Dass der Datendiebstahl in dieser Form funktionieren würde, haben zwei dokumentierte Versuche aus den letzten Wochen gezeigt. Auf dem Neophasis Security Blog wurde zunächst über die Möglichkeit des "Browser Event Hijacking" berichtet, der Betreiber des Blogs h43z hat den Trick im Anschluss ausprobiert. Das Ergebnis sind Web-Seiten mit Listen von Passwörtern und Kreditkartennummern und den dazugehörigen falschen Suchboxen, die die Schwachstelle simulieren.

Falsche und richtige Suchbox sind nur schwer zu unterscheiden. Unten befindet sich die Chrome-Suchbox.

(Bild: Chrome & Neophasis )

Möglich ist der Datenklau durch die in der DOM2-Spezifikation beschriebenen JavaScript-Methode event.preventDefault(), die alle Browser implementieren. Sie verhindert, dass die eigentlich vorgesehenen Aktionen ausgeführt werden. Dies verhindert in diesem Beispiel, dass die lokale Browsersuchfunktion geöffnet wird. Bisher gibt es keine Hinweise, dass diese Form der Sicherheitslücke bereits von Kriminellen genutzt wird. Die Demonstration drängt aber zu einem schnellen Fix.

Update 3.12., 23:00: Beschreibung zu event.preventDefault() korrigiert.
(kbe)