Passwortklau per Chrome-Erweiterung
Quelle: Depositphotos

Passwortklau per Chrome-Erweiterung

Viele Webseiten legen eingegebene Passwörter unverschlüsselt im HTML-DOM der Seite ab. Erweiterungen können darauf praktisch nach Belieben zugreifen.
4. September 2023

     

Ein Forschungsteam der University of Madison-Wisconsin hat im Sinn eines Proof-of-Concept eine Chrome-Erweiterung beim Chrome Web Store eingereicht, die Passwörter im Klartext aus dem Code einer Webseite stehlen kann, wie "Bleeping Computer" berichtet. Möglich ist dies demnach aufgrund des eher groben Berechtigungsmodells für Chrome Extensions, das Prinzipien wie Least Privilege offenbar nicht kennt: Extensions haben praktisch uneingeschränkten Zugriff auf das gesamte Document Object Model (DOM) der Website und können so Passwörter direkt bei der Eingabe abgreifen. Auch die neue Extensions API Manifest V3 bietet keinen genügenden Schutz vor Datenexfiltration durch Erweiterungen.

Dazu kommt weiter, dass zahlreiche Websites Passwörter im Klartext im DOM speichern oder zumindest keine Schutzmassnahmen gegen DOM-Zugriff durch Browsererweiterungen enthalten, darunter auch solche mit Millionen Usern wie Gmail.com, Facebook.com, Cloudflare.com oder Amazon.com. Im Fall von Amazon sind sogar Kreditkartenangaben inklusive Sicherheitscode im Klartext im Source Code lesbar. Unter den Top-10'000-Domains legen laut dem Paper des Forschungsteams (PDF) 1100 Passwörter im Klartext im DOM ab, und mehr als 17'000 Erweiterungen vefügen über die Berechtigungen verfügen, um sensible Informationen von beliebigen Webseiten zu erlangen. (ubi)



Weitere Artikel zum Thema

Chrome soll ungefragt eigene Apps installieren

25. August 2023 - Der Chrome-Webbrowser soll ohne Zutun der User eigene Anwendungen auf Windows-und Linux-Rechnern installieren. Über die Gründe für das Verhalten herrscht Unklarheit.

Chrome-Update behebt schwerwiegende Schwachstellen

23. August 2023 - Mit Chrome-Updates für alle Plattformen räumt Google fünf Sicherheitslücken in Chrome 116 aus. Vier davon gelten als hoch riskant.

Google verschiebt Manifest-2-Aus nochmals

3. April 2023 - Die Transition von der Chrome-Erweiterungs-API Manifest 2 auf Version 3 startet laut Google neu nicht mehr 2023, sondern erst im kommenden Jahr und soll den Entwicklern mit sechs Monaten Vorlauf angekündigt werden.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER