Google, Yahoo, Microsoft und Amazon anfällig für Clickjacking

Ein Sicherheitsforscher demonstriert an populären Webseiten wie Amazon, Google, Yahoo und Microsoft Live, dass viele Webseiten immer noch schlecht gegen Clickjacking geschützt sind.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Lesezeit: 2 Min.

Der Sicherheitsforscher Luca de Fulgentis demonstriert in seinem Blog, dass populäre Webdienste unzureichend vor Clickjacking-Angriffen geschützt sind. Dabei wäre dies durch den konsequenten Einsatz des HTTP-Headers X-Frame-Options denkbar einfach. Der Forscher entwickelte Proof-of-Concepts, die durch Clickjacking in Kombination mit Drag&Drop Nutzerdaten von den betroffenen Seiten extrahieren. Ein vergleichbarer Angriff wurde bereits 2010 demonstriert.

Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame über Buttons. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente der Seite im unsichtbaren iFrame. In Kombination mit der Drag&Drop-API moderner Browser kann ein Nutzer auf diesem Weg dazu verführt werden Objekte oder Texte aus dem unsichtbaren iFrame in einen Bereich der manipulierten Seite zu ziehen, den der Angreifer auslesen kann.

Sicherheitsforscher Fulgentis hat genau diese Methode auf die Webdienste von Google, Microsoft und Yahoo angewandt. Wie er feststellte, werden noch nicht alle Unterseiten der drei Anbieter mit dem HTTP-Header X-Frame-Options ausgeliefert. Dieser verhindert, dass Webseiten auf anderen Sites eingebettet werden können. Bei Google gelang es dem Forscher beispielsweise via Drag&Drop Vor- und Nachname, Nutzerfoto und E-Mail-Adresse von Nutzerprofilen herüber zu ziehen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bei einem Angriff auf die Amazon-Dienste über Googles Browser Chrome (Version: 23.0.1271.97) gelang Fulgentis die Angriffsmethode ebenfalls – er musste nur etwas tiefer in die Trickkiste greifen. Während er für Yahoo, Google und Microsoft einen "cross-domain"-Angriff fahren konnte, musste er für Amazon einen "same-origin"-Angriff starten, denn der Chrome Browser verhindert eigentlich das Herüberziehen von Daten von einer Webseite auf die Seite einer anderen Domain.

Für den Angriff musste Fulgentis Quell- und Zielseiten ausmachen, die von der gleichen Domain gehostet werden. Den Clickjacking iFrame setzte er über den "Abschicken"-Button auf den Amazon-Kommentarseiten, über die Kundenrezensionen verfasst werden. Ist ein Nutzer bei Amazon eingeloggt und surft nebenbei auf einer anderen, speziell präparierten Seite, sorgt das Clickjacking-Script dafür, dass er unwissentlich seine persönlichen Kundendaten in das Kommentarfeld einer Produktbewertung zieht und abschickt. Angreifer können die Daten dann in der öffentlich zugänglichen Kommentarliste abgreifen.


Update: 08.01.2013 13:15 Uhr: Eine Sprecherin von Yahoo hat heise security mitgeteilt, dass die Sicherheitslücke geschlossen wurde. (kbe)