ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen

Marc Stöckel
71 Kommentare
Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
Bild: Chrome Web Store / Screenshot

Viele Chrome-Erweiterungen versorgen ihre Anwender mit nützlichen Features und sorgen so für eine angenehmere Erfahrung beim Surfen im Web. Häufig reichen die Berechtigungen dieser Tools aber zu weit. Forschern ist es gelungen, mit einer Chrome-Extension Passwörter teils namhafter Webportale im Klartext abzugreifen.

Viele sensible Nutzerdaten stehen im DOM

Wie eine Forschergruppe der University of Wisconsin-Madison feststellte, speichern viele Online-Dienste die Passwörter und auch andere sensible Informationen ihrer Benutzer im Klartext im HTML-Code der jeweiligen Webseite zwischen. Diese Speicherung erfolgt demnach nur lokal auf dem System des Anwenders, was auf den ersten Blick unkritisch erscheint, solange die Daten den Rechner nicht in dieser Form verlassen. Spätestens beim Einsatz von Browser-Erweiterungen für Google Chrome könne dies aber dennoch zum Problem werden, da deren Berechtigungsmodell gegen fundamentale Sicherheitsprinzipien verstoße.

Infolgedessen sei es vielen Chrome-Extensions möglich, im DOM-Baum (Document Object Model) einer Webseite zwischengespeicherte Benutzereingaben abzugreifen – darunter auch Passwörter oder sensible Zahlungsinformationen. Grund dafür sei etwa das Fehlen einer Sicherheitsgrenze, die Benutzereingaben zuverlässig vor Zugriffen der Browser-Erweiterungen schütze. Auch Googles umstrittene Erweiterungs-API Manifest V3 biete trotz damit eingeführter neuer Sicherheitsbarrieren keinen zuverlässigen Schutz vor dem unrechtmäßigen Zugriff auf sensible Nutzerdaten einer Webseite.

Proof-of-Concept unter Vorwand in den Store geschleust

Um die Umsetzbarkeit dadurch möglicher Angriffe genauer zu untersuchen, entwickelten die Forscher laut BleepingComputer eine Proof-of-Concept-Erweiterung. Um diese im Chrome Web Store bereitstellen zu können, tarnten sie die Anwendung als eine Art GPT-basierten Assistenten. Dadurch sei es ihnen möglich gewesen, gegenüber Google glaubhaft zu vermitteln, dass der Zugriff auf Eingabefelder besuchter Webseiten für die Funktionalität der Erweiterung erforderlich ist. Folglich bestand die Chrome-Extension die Sicherheitsprüfungen des Store-Betreibers – sie wurde nicht als potenzielle Bedrohung eingestuft.

Nicht nur Gmail und Facebook speichern Passwörter im Klartext

Unter den 10.000 populärsten Domains fanden die Forscher nach eigenen Angaben insgesamt 1.100 Webseiten, die die Passwörter ihrer Besucher im Klartext im DOM speichern, wo Chrome-Erweiterungen mit entsprechenden Berechtigungen nach Belieben darauf zugreifen können. Auch unter namhaften Domains wie gmail.com oder cloudflare.com sei dies möglich gewesen. Auf anderen Seiten wie Facebook oder Citibank seien die Passwörter zwar nicht direkt im DOM ersichtlich, jedoch konnten die Forscher auch dort über die DOM-API mit zwei Zeilen JavaScript auf eingegebene Klartext-Kennwörter zugreifen. Auf Online-Marktplätzen wie Amazon könne eine Chrome-Erweiterung oftmals auch Kreditkartendaten aus entsprechenden Datenfeldern auslesen – inklusive Sicherheitscodes und Postleitzahlen.

Mehr als 17.000 Chrome-Erweiterungen haben die erforderlichen Rechte

Bei den Erweiterungen, die potenziell auf derart sensible Nutzerdaten zugreifen können, handelt es sich offenkundig nicht einmal um Einzelfälle. Rund 17.300 Extensions aus dem Chrome Web Store verfügen angeblich bereits über die dafür erforderlichen Berechtigungen. Dazu zählen auch beliebte Werbeblocker wie Adblock Plus oder Shopping-Erweiterungen wie Honey, die jeweils Millionen von Installationen vorweisen können. 190 Browser-Erweiterungen sollen sogar tatsächlich auf Passwortfelder der Nutzer zugreifen. Einige davon seien zwar Passwortmanager, von denen ein solches Verhalten zu erwarten ist, jedoch seien auch viele andere Erweiterungen dabei gewesen, „die Passwortfelder auswählten und speicherten“, was auf einen potenziellen Missbrauch hindeutet.

Gegenüber BleepingComputer soll ein Sprecher von Google bestätigt haben, dass der Konzern bereits Untersuchungen zu den Entdeckungen der Forscher eingeleitet habe. Jedoch sei der Zugriff auf Passwortfelder nicht grundsätzlich als Sicherheitsproblem einzustufen, sofern eine Erweiterung die Berechtigungen dafür ordnungsgemäß einhole. Dies gehe so auch aus den Security-FAQ für Chrome-Extensions hervor.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz