News vom 06.01.2018

Werbefirmen klauen Daten per Autofill-Schwachstelle

Ein Artikel von , veröffentlicht am 06.01.2018

Die großen Browser sind anfällig für einen Angriff, der die Autofill-Funktion ausnutzt. Damit können sensible Daten wie E-Mail-Adressen und Passwörter entwendet werden. Nur Chrome scheint vor dem Angriffsszenario sicher zu sein.

Die Autofill-Funktion von Browsern ist anfällig für Missbrauch. Das Problem ist schon lange bekannt und zumindest beim Firefox- und Safari-Browser noch nicht gelöst. Nun zeigten Forscher der US-amerikanischen Princeton University in einem groß angelegten Test, dass Trackingdienste auf Webseiten diese Schwachstelle systematisch ausnutzen. 

Die Autofill-Funktion soll helfen, Login-Daten und andere Inhalte in Anmeldeseiten oder Online-Formulare einzugeben. Dazu speichern die Browser einmal eingegebene Login-Daten für eine Webseite - allerdings nur, wenn der Nutzer zugestimmt hat. Beim nächsten Besuch der Webseite kann der Browser das jeweilige Formular dann automatisch ausfüllen.

Bei etwa 1.000 von 50.000 getesteten Webseiten beobachteten die Forscher Skripte, die das Problem zum Tracken ausnutzen: Die Skripte stammten von zwei Werbefirmen - der Aktiengesellschaft "Adthink Media", mit Hauptsitz in Frankreich und der Firma "OnAudience Ltd.", mit Sitz in London.

Ein unsichtbares Formular

Der Trick der Trackingdienste funktioniert so: ein Nutzer geht auf eine Webseite, die ein Anmeldeformular enthält. Er gibt seine Login-Daten ein, und der Browser fragt, ob er die Zugangsdaten für diese Webseite speichern soll. Im beschriebenen Szenario gestattet man dem Browser das.

Die Webseite hat ein externes Trackingskript eingebunden. Das erzeugt - in den meisten Fällen vermutlich ohne Wissen der Seitenbetreiber -  ein unsichtbares Formular auf der gleichen Webseite. Der Login-Manager trägt die Anmeldedaten dort selbständig ein und die für das Skript verantwortliche externe Firma kann sie einsehen.

Eine Liste betroffener Webseiten stellen die Forscher hier zur Verfügung.

Missbrauchspotenzial ist groß

In den konkreten Fällen, die von den Forschern beobachtet wurden, hielt sich der tatsächliche Missbrauch in Grenzen. Die Skripte sendeten die Anmeldedaten nicht im Klartext an die Werbefirmen, sondern griffen ausschließlich die E-Mail-Adresse ab und verschickten diese in „gehashter“ (also verschlüsselter) Form.

Die Forscher vermuten, dass es den beiden Unternehmen nicht darum geht, illegal E-Mail-Adressen zu sammeln, um diese kommerziell zu verwerten oder gar darum, komplette Login-Daten abzufangen. Stattdessen würden die, aus den E-Mail-Adressen generierten, Hashwerte wohl als "Identifier" genutzt - also als eindeutige Werte. Diese lassen sich einem bestimmten Nutzer zuordnen, um ihn auch über verschiedene Webseiten und Geräte hinweg wieder zu erkennen.

Allerdings wurden in der Vergangenheit auch Fälle beobachtet, bei denen mit diesem Trick tatsächlich Login-Daten im Klartext abgegriffen wurden. Die Sicherheitslücke ist schon länger bekannt und wurde, wie die Forscher anmerken, zumindest für Firefox schon vor elf Jahren beschrieben.

Firefox und Safari sind anfällig, Chrome nicht

Alle großen Browser haben eine Autofill-Funktion integriert, jedoch ist nicht bei allen die Attacke möglich. Die Forscher haben eine Demo-Webseite eingerichtet, die den Angriff nachbaut. Dort kann man fiktive Login-Daten eingeben, und die Webseite verrät einem, ob ein externes Skript in der Lage wäre, diese abzugreifen.

Im unserem Test mit einem Samsung Galaxy S8 (mit Android 7.0) „funktionierte“ der Trick bei Nutzung des Firefox-Browsers, jedoch nicht beim Chrome-Browser. Bei Chrome wäre nach Aussage der Forscher zuvor ein Klick oder eine sonstige Interaktion des Nutzers mit dem unsichtbaren Formular nötig. Der Safari-Browser auf einem iPhone 6 mit iOS 11.2.1 gab ebenfalls die Login-Daten preis.

Was tun?

Solange die Technologie- und Diensteanbieter das Problem nicht lösen, bleiben Nutzer gefährdet. Einziger wirksamer Schutz ist, die Autofill-Funktion nicht mehr zu nutzen. Natürlich büßt man dadurch aber auch viel Komfort ein. Eine weniger radikale Lösung könnte sein, die Autofill-Funktion nur bei wenigen, oft genutzten Webseiten zu gestatten: Seiten, die man für vertrauenswürdig und professionell genug hält, dass sie, ob wissentlich oder nicht, keine Tracking-Dienstleister mit fragwürdigen Geschäftsmodellen einbinden.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

App-Test 

Navi-Apps im Check: OsmAnd – gute Alternative

OsmAnd ist quelloffen und nutzt Kartenmaterial des nicht-kommerziellen Projekts OpenStreetMap. Die werbefreie App überlässt es auf Android den Nutzern, ob sie zahlen wollen oder nicht. OsmAnd ist eine datensparsame Alternative, für kritikwürdig halten wir jedoch die Integration eines Facebook-Analyse-Dienstes.

Mehr
Ratgeber 

Android-Apps ersetzen: Suche

Google ist die Königin der Online-Suche. Doch es gibt für das Smartphone eine Reihe guter Alternativen, die ähnlich funktionieren - und Sie dabei nicht verfolgen. Unsere Empfehlungen in Kürze.

Mehr
Kostenfallen 

Abofalle? So funktioniert die Abzocke per Handynummer

Sie haben Kosten für ein Abo auf der Mobilfunkrechnung, das Sie nie bestellt haben? Damit sind Sie nicht alleine. Wir erklären, wie solche "Drittanbieterkosten" auf der Handyrechnung landen, wer daran beteiligt ist, und wie dabei immer wieder getrickst wird.

Mehr
App-Test 

App-Test DB-Navigator: Fahrplanauskunft und Ticketbuchung bei der Bahn

DB Navigator ist eine kostenlose App der Deutschen Bahn, die unter anderem Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes anzeigt. Registrierte Kunden können mit der App Tickets buchen und verwalten. Ein mögliches Problem: Tracking.

Mehr