News Sicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.674
  • Gefällt mir
Reaktionen: DON.HEROUR, iron-man, Smartbomb und 23 andere
Wenn Google das nicht behebt, wird es dem Unternehmen früher oder später schaden. Es ist komplett bescheiden wenn so was nicht behoben wird, gerade wo überall auf Sicherheit gesetzt wird, sollten Unternehmen alles daran setzen, solche Lücken zu schliessen.
 
  • Gefällt mir
Reaktionen: flo.murr, Alienate.Me, crogge und 7 andere
Stattlich! Ich seh ja ein, dass es sicherheitstechnisch immer problematisch ist, wenn ein fremder User physischen Zugang zu einem System hat. Aber das heißt doch nicht, dass ich deswegen einfach alle Passwörter in Klartext in den Speicher laden kann...?!
 
  • Gefällt mir
Reaktionen: bullit1, DON.HEROUR, RAMSoße und 16 andere
So unverschlüsselte Dinge haben bei Google doch Tradition. Auch die Daten zwischen EU und USA wurden unverschlüsselt übertragen.
 
  • Gefällt mir
Reaktionen: Schmarall und Farcrei
Na sind doch nur Passwörter ... Was regt ihr euch auf.
 
  • Gefällt mir
Reaktionen: whats4, bullit1, Transistor 22 und 4 andere
Geht dieser Angriff auch an einem gesetzen Master Passwort vorbei bzw. werden die Daten auch mit Master Passwort im Klartext im RAM abgelegt? Wäre natürlich fatal.
 
  • Gefällt mir
Reaktionen: RAMSoße, Elektrolyt, Valeria und eine weitere Person
Wer speichert zB Bank Passwörter schon im Browser? Wer solche Sachen im Browser speichert , ist selbst schuld und lost.

Ich speichere nur Passwörter im Firefox, wo die Dienste unwichtig sind und mir der Verlust egal ist. Die pw weisen auch keinerlei Ähnlichkeit mit wichtigsten Daten auf...
 
  • Gefällt mir
Reaktionen: DON.HEROUR, bad_sign, Error 040 und 19 andere
"Entschuldigung, in Ihrem Keller riecht es nach Gas" .... hm ich rieche nigs.
Entweder man kümmert sich oder das Ganze fliegt dir irgendwann um die Ohren.
 
  • Gefällt mir
Reaktionen: bullit1, MyFlashDrive, mental.dIseASe und 3 andere
Kann man nicht in den Browser-Einstellungen die Passwörter sowieso unverschlüsselt ansehen? Dass die im RAM dann unverschlüsselt vorliegen, macht ja dann irgendwie Sinn :D
 
  • Gefällt mir
Reaktionen: DON.HEROUR, stalagg, rojadesign und 18 andere
Der "Hacker" kann sich die Passwörter auch im Chrome direkt ansehen. Wer im Chrome seine Passwörter speichert, hat die Kontrolle über sein Leben verloren.
Ein ehemaliger Kollege von mir hatte in seinem Browser Passwörter zu Online Banking, Amazon, einfach allem gespeichert. Mit dem hatte ich dann ein hoffentlich aufschlussreiches Gespräch als ich ihm erzählt hatte, dass ich theoretisch TAN freie Beträge vom Bankkonto seiner Frau abbuchen könnte.
 
  • Gefällt mir
Reaktionen: Slayher666, Unnu, Banned und 3 andere
Einfach unverständlich wieso Google da nichts unternehmen möchte.
@SVΞN Gibt es zufällig auch eine Stellungnahme von Mozilla zu dem Thema? Würde mich echt interessieren.
MFG Piet
 
  • Gefällt mir
Reaktionen: iron-man, Weyoun, Dama und 5 andere
Ich frage mich gerade wie es anders gehen soll. Der wird die Passwörter bei Verwendung laden aber die müssen ja entschlüsselt werden. Wenn sie verschlüsselt in den RAM geladen werden würden, müsste man auch den entsprechen Schlüssel in den RAM laden. Welcher natürlich auch wieder ausgelesen werden kann. Damit hätte man nichts gewonnen. So oder so, sollte 2FA Pflicht werden
 
  • Gefällt mir
Reaktionen: shoKuu, iron-man, Paddydapro und 17 andere
@wolve666 nur weil du einem solchen Passwort Manager nicht vertraust, heißt das nicht, dass da niemand tut. Erkläre mal meinen Eltern, meiner Freundin oder sonst wem, warum der bequeme Manger im Chrome so viel schlechter ist als ein KeePass (etc...)

@keepit69hz ohne Master Passwort, ja! Andernfalls frägt zumindest der FF einmal pro Session (wobei das mMn. auch noch recht unsicher ist)
 
  • Gefällt mir
Reaktionen: mx34
Der RAM ist doch gleich das nächste, wenn man sich über Security Gedanken macht.
An erster Stelle wäre da "sensible Informationen nur verschlüsselt auf dem Laufwerk speichern" gefolgt von "sensible Informationen nur verschlüsselt im RAM ablegen" gefolgt von "sensible Informationen nur verschlüsselt übertragen".


Abe die Frage ist hier: Werden die Passwörter auch dann im Klartext im RAM abgelegt, wenn ich sie nicht vorher in Chrome gespeichert habe? Also rein logisch gesehen sind die Passwörter ja im RAM, sobald ich sie getippt aber noch nicht abgeschickt habe. Wüsste jetzt nicht, warum genau das verschlüsselt sein sollte, jedoch das AutoFill nicht?
 
  • Gefällt mir
Reaktionen: Der Kabelbinder und MountWalker
@Falc410 bisher gibt es mWn. keinen solchen Exploit für KeePass, Bitwarden und Konsorten aber gute Frage, würde mich auch interessieren
 
wolve666 schrieb:
Wer speichert zB Bank Passwörter schon im Browser? Wer solche Sachen im Browser speichert , ist selbst schuld und lost.
es geht nicht nur um gespeicherte passwörter sondern auch um manuell eingegebene. zusätzlich kann man session-cookies auslesen, die nach dem erfolgreichen authenfizieren erstellt wurden. das ist schon etwas uncool.

Falc410 schrieb:
So oder so, sollte 2FA Pflicht werden
hilft hier ja leider auch nicht. du authentifizierst dich mit 2fa und das dann erstellte session-cookie ist auslesbar...
 
  • Gefällt mir
Reaktionen: Dark_Soul, Gast12345, floTTes und 10 andere
Entweder man hat ein sauberes System oder ein kompromittiertes. Wenn Fremdzugriff besteht nutzen verschlüsselte Passwörter im Arbeitsspeicher gar nichts, der Schlüssel muss ja auch im Speicher sein. Daneben müssen die Daten wahrscheinlich auch kurzzeitig entschlüsselt sein wenn sie beispielsweise an den TCP/IP-Stack weitergereicht werden, etc.
 
  • Gefällt mir
Reaktionen: Subcommander, allli84, Knaecketoast und 8 andere
Giana schrieb:
Daneben müssen die Daten wahrscheinlich auch kurzzeitig entschlüsselt sein wenn sie beispielsweise an den TCP/IP-Stack weitergereicht werden, etc.
das ist richtig, allerdings sollte dieser speicher des os nicht von jedem x-beliebigen programm ohne besondere rechte auslesen werden können. genau das ist aber beim browser möglich.
 
  • Gefällt mir
Reaktionen: newHeilandV2.4, Fritzler, Gast12345 und 9 andere
Falc410 schrieb:
Ich frage mich gerade wie es anders gehen soll.
Genau das habe ich mir auch gedacht... Muss ja in Klartext vorliegen, wenn der Browser die Felder befüllen soll mit dem PW nützt es nix den Hash da reinzukopieren.
 
  • Gefällt mir
Reaktionen: cruse, Slayher666, flaphoschi und eine weitere Person
Wenn ich das Passwort per Hand eingebe ist es dann auch per RAM auf die selbe Weise auslesbar?
 
  • Gefällt mir
Reaktionen: D. ACE, USB-Kabeljau, Kazuja und eine weitere Person
Zurück
Oben