(Bild: pixabay.com)
Mittlerweile verfügen alle gängigen Browser über einen integrierten Login-Manager. Diese Funktion ist nicht nur praktisch für Nutzer, sondern auch für zwielichtige Werbefirmen, die die Daten fürs User-Tracking zweckentfremden.
Viele Webseiten beinhalten Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken. Das geht aus einer Analyse von rund 50.000 Webseiten durch Sicherheitsforscher der Princeton University hervor. Demnach enthielten über 1100 dieser Seiten datensammelnden JavaScript-Code zweier verschiedener Werbefirmen.
Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.
Datenklau mit unsichtbarem Formular
Zum automatisierten Abgreifen der E-Mail-Adressen muss die Autofill-Funktion im Browser aktiv sein. Nachdem der Nutzer während des Anmeldeprozesses auf der betreffenden Webseite dem dauerhaften Speichern der Login-Daten im Browser zugestimmt hat, lauert ihm das Tracking-Skript auf einer beliebigen Unterseite derselben Domain auf. Dort erzeugt es ein unsichtbares Login-Formular – und wartet anschließend einfach ab, bis der Login-Manager die abgefragten Daten selbständig einträgt.
Die Lösung: Autofill deaktivieren
Das beschriebene Angriffsszenario ist nicht neu: Die Forscher verweisen auf Beispiele, die bis zu elf Jahre zurückreichen. Anders als im aktuellen Fall wurden in der Vergangenheit häufig auch Adress-, Login- und andere vertrauliche Daten im Klartext abgegriffen. So beschrieb beispielsweise im Januar 2017 der finnische Webentwickler und Hacker Viljami Viljami Kuosmanen eine Phishing-Methode, die sich ebenfalls Autofill zunutze macht. Hierbei wird der Nutzer auf eine Webseite gelockt, um dort einige wenige Formulareingaben zu machen. Im Hintergrund füllt der Login-Manager derweil weitere unsichtbare Felder mit vertraulichen Daten aus.
Wie schon Kuosmanen raten auch die Forscher der Princeton University zum Deaktivieren der Autofill-Funktion im Browser. Wer sich selbst ein Bild vom Angriff machen möchte, kann ihn auf einer vom Forscherteam eingerichteten Demo-Webseite übrigens auch selbst nachvollziehen.
(ovw)