News vom 06.01.2018

Werbefirmen klauen Daten per Autofill-Schwachstelle

Ein Artikel von , veröffentlicht am 06.01.2018

Die großen Browser sind anfällig für einen Angriff, der die Autofill-Funktion ausnutzt. Damit können sensible Daten wie E-Mail-Adressen und Passwörter entwendet werden. Nur Chrome scheint vor dem Angriffsszenario sicher zu sein.

Die Autofill-Funktion von Browsern ist anfällig für Missbrauch. Das Problem ist schon lange bekannt und zumindest beim Firefox- und Safari-Browser noch nicht gelöst. Nun zeigten Forscher der US-amerikanischen Princeton University in einem groß angelegten Test, dass Trackingdienste auf Webseiten diese Schwachstelle systematisch ausnutzen. 

Die Autofill-Funktion soll helfen, Login-Daten und andere Inhalte in Anmeldeseiten oder Online-Formulare einzugeben. Dazu speichern die Browser einmal eingegebene Login-Daten für eine Webseite - allerdings nur, wenn der Nutzer zugestimmt hat. Beim nächsten Besuch der Webseite kann der Browser das jeweilige Formular dann automatisch ausfüllen.

Bei etwa 1.000 von 50.000 getesteten Webseiten beobachteten die Forscher Skripte, die das Problem zum Tracken ausnutzen: Die Skripte stammten von zwei Werbefirmen - der Aktiengesellschaft "Adthink Media", mit Hauptsitz in Frankreich und der Firma "OnAudience Ltd.", mit Sitz in London.

Ein unsichtbares Formular

Der Trick der Trackingdienste funktioniert so: ein Nutzer geht auf eine Webseite, die ein Anmeldeformular enthält. Er gibt seine Login-Daten ein, und der Browser fragt, ob er die Zugangsdaten für diese Webseite speichern soll. Im beschriebenen Szenario gestattet man dem Browser das.

Die Webseite hat ein externes Trackingskript eingebunden. Das erzeugt - in den meisten Fällen vermutlich ohne Wissen der Seitenbetreiber -  ein unsichtbares Formular auf der gleichen Webseite. Der Login-Manager trägt die Anmeldedaten dort selbständig ein und die für das Skript verantwortliche externe Firma kann sie einsehen.

Eine Liste betroffener Webseiten stellen die Forscher hier zur Verfügung.

Missbrauchspotenzial ist groß

In den konkreten Fällen, die von den Forschern beobachtet wurden, hielt sich der tatsächliche Missbrauch in Grenzen. Die Skripte sendeten die Anmeldedaten nicht im Klartext an die Werbefirmen, sondern griffen ausschließlich die E-Mail-Adresse ab und verschickten diese in „gehashter“ (also verschlüsselter) Form.

Die Forscher vermuten, dass es den beiden Unternehmen nicht darum geht, illegal E-Mail-Adressen zu sammeln, um diese kommerziell zu verwerten oder gar darum, komplette Login-Daten abzufangen. Stattdessen würden die, aus den E-Mail-Adressen generierten, Hashwerte wohl als "Identifier" genutzt - also als eindeutige Werte. Diese lassen sich einem bestimmten Nutzer zuordnen, um ihn auch über verschiedene Webseiten und Geräte hinweg wieder zu erkennen.

Allerdings wurden in der Vergangenheit auch Fälle beobachtet, bei denen mit diesem Trick tatsächlich Login-Daten im Klartext abgegriffen wurden. Die Sicherheitslücke ist schon länger bekannt und wurde, wie die Forscher anmerken, zumindest für Firefox schon vor elf Jahren beschrieben.

Firefox und Safari sind anfällig, Chrome nicht

Alle großen Browser haben eine Autofill-Funktion integriert, jedoch ist nicht bei allen die Attacke möglich. Die Forscher haben eine Demo-Webseite eingerichtet, die den Angriff nachbaut. Dort kann man fiktive Login-Daten eingeben, und die Webseite verrät einem, ob ein externes Skript in der Lage wäre, diese abzugreifen.

Im unserem Test mit einem Samsung Galaxy S8 (mit Android 7.0) „funktionierte“ der Trick bei Nutzung des Firefox-Browsers, jedoch nicht beim Chrome-Browser. Bei Chrome wäre nach Aussage der Forscher zuvor ein Klick oder eine sonstige Interaktion des Nutzers mit dem unsichtbaren Formular nötig. Der Safari-Browser auf einem iPhone 6 mit iOS 11.2.1 gab ebenfalls die Login-Daten preis.

Was tun?

Solange die Technologie- und Diensteanbieter das Problem nicht lösen, bleiben Nutzer gefährdet. Einziger wirksamer Schutz ist, die Autofill-Funktion nicht mehr zu nutzen. Natürlich büßt man dadurch aber auch viel Komfort ein. Eine weniger radikale Lösung könnte sein, die Autofill-Funktion nur bei wenigen, oft genutzten Webseiten zu gestatten: Seiten, die man für vertrauenswürdig und professionell genug hält, dass sie, ob wissentlich oder nicht, keine Tracking-Dienstleister mit fragwürdigen Geschäftsmodellen einbinden.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Schwerpunkt 

Firewalls und VPN: Datenverkehr absichern

Auf Android können Sie übertragene Daten zusätzlich verschlüsseln oder Datenverbindungen ganz unterbinden. Das geht mit Hilfe von VPN-Tunneln und Firewall-Apps. Hier finden Sie Erklärungen und Tipps.

Mehr
Ratgeber 

Surfen mit Tor (Android)

Das Anonymisierungs-Netzwerk Tor kann dabei helfen, einen Teil der Spuren, die man beim Surfen im Netz hinterlässt, zu verschleiern. Welche Android-Software man für Tor braucht und wie man sie benutzt, erklären wir in den folgenden Abschnitten.

Mehr
Kinder und Jugendliche 

Cyber-Grooming: Was tun bei sexuellen Übergriffen im Netz?

Wenn Erwachsene sich im Internet das Vertrauen von Kindern erschleichen, um sie sexuell auszunutzen, spricht man von Cyber-Grooming. Wie man Cyber-Grooming erkennt, sich davor schützt und was im Fall der Fälle zu tun ist, erfahren Sie hier.

Mehr
App-Test 

Vorbildlich: Warnwetter, die App vom DWD

Die App „Warnwetter“ vom Deutschen Wetterdienst bietet alles, was man zur Wettervorhersage braucht. Das Beste: Werbung ist keine enthalten und Analytics-Module lassen sich vollständig deaktivieren. Fazit: Gute Alternative für ungetrübte Aussichten.

Mehr