Die Autofill-Funktion von Browsern ist anfällig für Missbrauch. Das Problem ist schon lange bekannt und zumindest beim Firefox- und Safari-Browser noch nicht gelöst. Nun zeigten Forscher der US-amerikanischen Princeton University in einem groß angelegten Test, dass Trackingdienste auf Webseiten diese Schwachstelle systematisch ausnutzen.
Die Autofill-Funktion soll helfen, Login-Daten und andere Inhalte in Anmeldeseiten oder Online-Formulare einzugeben. Dazu speichern die Browser einmal eingegebene Login-Daten für eine Webseite - allerdings nur, wenn der Nutzer zugestimmt hat. Beim nächsten Besuch der Webseite kann der Browser das jeweilige Formular dann automatisch ausfüllen.
Bei etwa 1.000 von 50.000 getesteten Webseiten beobachteten die Forscher Skripte, die das Problem zum Tracken ausnutzen: Die Skripte stammten von zwei Werbefirmen - der Aktiengesellschaft "Adthink Media", mit Hauptsitz in Frankreich und der Firma "OnAudience Ltd.", mit Sitz in London.
Ein unsichtbares Formular
Der Trick der Trackingdienste funktioniert so: ein Nutzer geht auf eine Webseite, die ein Anmeldeformular enthält. Er gibt seine Login-Daten ein, und der Browser fragt, ob er die Zugangsdaten für diese Webseite speichern soll. Im beschriebenen Szenario gestattet man dem Browser das.
Die Webseite hat ein externes Trackingskript eingebunden. Das erzeugt - in den meisten Fällen vermutlich ohne Wissen der Seitenbetreiber - ein unsichtbares Formular auf der gleichen Webseite. Der Login-Manager trägt die Anmeldedaten dort selbständig ein und die für das Skript verantwortliche externe Firma kann sie einsehen.
Eine Liste betroffener Webseiten stellen die Forscher hier zur Verfügung.
Missbrauchspotenzial ist groß
In den konkreten Fällen, die von den Forschern beobachtet wurden, hielt sich der tatsächliche Missbrauch in Grenzen. Die Skripte sendeten die Anmeldedaten nicht im Klartext an die Werbefirmen, sondern griffen ausschließlich die E-Mail-Adresse ab und verschickten diese in „gehashter“ (also verschlüsselter) Form.
Die Forscher vermuten, dass es den beiden Unternehmen nicht darum geht, illegal E-Mail-Adressen zu sammeln, um diese kommerziell zu verwerten oder gar darum, komplette Login-Daten abzufangen. Stattdessen würden die, aus den E-Mail-Adressen generierten, Hashwerte wohl als "Identifier" genutzt - also als eindeutige Werte. Diese lassen sich einem bestimmten Nutzer zuordnen, um ihn auch über verschiedene Webseiten und Geräte hinweg wieder zu erkennen.
Allerdings wurden in der Vergangenheit auch Fälle beobachtet, bei denen mit diesem Trick tatsächlich Login-Daten im Klartext abgegriffen wurden. Die Sicherheitslücke ist schon länger bekannt und wurde, wie die Forscher anmerken, zumindest für Firefox schon vor elf Jahren beschrieben.
Firefox und Safari sind anfällig, Chrome nicht
Alle großen Browser haben eine Autofill-Funktion integriert, jedoch ist nicht bei allen die Attacke möglich. Die Forscher haben eine Demo-Webseite eingerichtet, die den Angriff nachbaut. Dort kann man fiktive Login-Daten eingeben, und die Webseite verrät einem, ob ein externes Skript in der Lage wäre, diese abzugreifen.
Im unserem Test mit einem Samsung Galaxy S8 (mit Android 7.0) „funktionierte“ der Trick bei Nutzung des Firefox-Browsers, jedoch nicht beim Chrome-Browser. Bei Chrome wäre nach Aussage der Forscher zuvor ein Klick oder eine sonstige Interaktion des Nutzers mit dem unsichtbaren Formular nötig. Der Safari-Browser auf einem iPhone 6 mit iOS 11.2.1 gab ebenfalls die Login-Daten preis.
Was tun?
Solange die Technologie- und Diensteanbieter das Problem nicht lösen, bleiben Nutzer gefährdet. Einziger wirksamer Schutz ist, die Autofill-Funktion nicht mehr zu nutzen. Natürlich büßt man dadurch aber auch viel Komfort ein. Eine weniger radikale Lösung könnte sein, die Autofill-Funktion nur bei wenigen, oft genutzten Webseiten zu gestatten: Seiten, die man für vertrauenswürdig und professionell genug hält, dass sie, ob wissentlich oder nicht, keine Tracking-Dienstleister mit fragwürdigen Geschäftsmodellen einbinden.