Browser-Überwachungskit für Dutzende chinesische Webseiten entdeckt
Ein Sicherheitsforscher ist einem Web-Angriff auf die Spur gekommen, der Schwachstellen in 58 Portalen ausnutzt und wohl auf chinesische Dissidenten zielt.
(Bild: rongyiquan/Shutterstock.com)
Nutzer, die ihre Spracheinstellungen im Browser auf Chinesisch gesetzt haben und in den vergangenen Monaten beliebte chinesische Webseiten besuchten, drohten ausgespäht zu werden. Ein IT-Sicherheitsexperte mit dem Pseudonym Imp0rtp3 hat ein "Tetris" getauftes Framework für eine großangelegte Web-Attacke gefunden, mit dem Sicherheitslücken auf 58 populären Portalen ausgenutzt werden konnten. 57 davon sind auf Chinesisch. Bei dem einzigen betroffenen englischsprachigen Angebot handelt es sich um die Webseite der New York Times.
Die Angreifer konnten laut der Analyse des Forschers mit dem Instrument auch legitime Browserfunktionen missbrauchen, um Tastatureingaben des Nutzers, eine Vielzahl von Betriebssystemdetails, Standortdaten und sogar Aufnahmen des Gesichts der Zielperson über eine installierte Webcam zu sammeln. Auffälliger waren aber die Exploits, die auf Schwachstellen in Webportalen von Drittanbietern abzielten: Diese lösten in der Regel auch eine Benachrichtigungsaufforderung über den Browser aus.
Schutz mit NoScript
Imp0rtp3 stieß auf das Spionagewerkzeug auf zwei Nachrichten-Blogs mit einer chinesischen Leserschaft. Die eine, noch regelmäßig aktualisierte Seite habe sich auf Aktivitäten der chinesischen Regierung gegen Taiwan und Hongkong gerichtet. Auf dem anderen auf Schwedisch geschriebenen Portal seien bis 2016 allgemeine Gräueltaten des kommunistischen Regimes thematisiert worden. Leser seien dort zunächst von der ersten der beiden Tetris-Komponenten in Form von Jetriz "begrüßt" worden. Dieser Bestandteil habe die grundlegende Informationen über den Browser des Besuchers gesammelt und ausgelesen.
Bei einem vermutlichen chinesischen Nutzer lud die zweite Komponente "Swid" 15 verschiedene Plugins in Form von JavaScript-Dateien in den Browser des Opfers, um verschiedene Aktionen auszuführen. Acht davon nutzten das sogenannte JSON-Hijacking, um Verbindungen zu beliebten Webseiten zu öffnen und öffentliche Daten über den Nutzer dort abzurufen. Passwörter oder Authentifizierungs-Cookies fielen den Angreifern so zwar nicht in die Hände. Sie konnten aber etwa Informationen wie Nutzernamen, Telefonnummern oder echte Namen sammeln. Als Schutz empfiehlt Imp0rtp3 die Browser-Erweiterung NoScript oder das Surfen im privaten Browser-Modus.
(axk)
