Phishing per Autofill: Chrome, Safari, Opera und Erweiterungen wie LastPass angreifbar

Chromium-basierte Browser, Safari und beliebte Erweiterungen wie der Passwortmanager LastPass lassen sich austricksen, um mehr über den Nutzer preiszugeben als dieser ahnt.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Phishing per Autofill: Chrome, Safari, Opera und Erweiterungen wie LastPass angreifbar

(Bild: (Bild: dpa, Karl-Josef Hildenbrand/Symbol))

Lesezeit: 1 Min.
Von

Der finnische Web-Entwickler und Hacker Viljami Viljami Kuosmanen hat eine Methode gefunden, mit der sich die Autofill-Mechanismen etlicher Browser und Browser-Erweiterungen austricksen lassen, um persönliche Informationen abzuphishen. Das Opfer muss dazu auf eine präparierte Website gelockt und dazu bewegt werden, einige Informationen über sich in Formularfelder einzugeben, etwa eher Unkritisches wie den Namen und die E-Mail-Adresse.

Auch wenn die Formularfelder außerhalb des sichtbaren Bereichs positioniert sind: Chrome füllt sie fleißig aus.

Kuosmanens Trick kommt zum Zuge, wenn das Opfer dafür den Autofill-Mechanismus benutzt. Der versucht bei vielen Browsern und Erweiterungen, so viele Informationen in so viele Felder einzutragen, wie er findet – und zwar auch in Textboxen, die für den Anwender unsichtbar sind. So meint das Opfer nur zwei unwesentliche Daten angegeben zu haben, während im Hintergrund viele weitere Informationen abgegriffen werden, etwa die Adresse, die Telefonnummer oder sogar Kreditkartendaten.

Kuosmanen hat eine Demo-Site aufgesetzt, auf der man den Angriff mit seinem Browser nachvollziehen kann, und den Code auf GitHub zum Herunterladen bereitgestellt. Der Trick lässt sich besonders effektiv mit Chrome ausnutzen, bei dem das Opfer nichts von dem Angriff mitkriegt. Safari teilt dem Opfer laut Kuosmanen mit, welche Informationen es ins Formular einträgt, auch wenn diese nicht sichtbar sind. Firefox ist laut Kuosmanen immun gegen den Trick, weil dort der Anwender explizit jedes Formularfeld anklicken muss.

Der einzige Schutz für Anwender mit betroffenen Browsern besteht derzeit darin, Autofill abzuschalten. (jo)