News vom 06.01.2018

Werbefirmen klauen Daten per Autofill-Schwachstelle

Ein Artikel von , veröffentlicht am 06.01.2018

Die großen Browser sind anfällig für einen Angriff, der die Autofill-Funktion ausnutzt. Damit können sensible Daten wie E-Mail-Adressen und Passwörter entwendet werden. Nur Chrome scheint vor dem Angriffsszenario sicher zu sein.

Die Autofill-Funktion von Browsern ist anfällig für Missbrauch. Das Problem ist schon lange bekannt und zumindest beim Firefox- und Safari-Browser noch nicht gelöst. Nun zeigten Forscher der US-amerikanischen Princeton University in einem groß angelegten Test, dass Trackingdienste auf Webseiten diese Schwachstelle systematisch ausnutzen. 

Die Autofill-Funktion soll helfen, Login-Daten und andere Inhalte in Anmeldeseiten oder Online-Formulare einzugeben. Dazu speichern die Browser einmal eingegebene Login-Daten für eine Webseite - allerdings nur, wenn der Nutzer zugestimmt hat. Beim nächsten Besuch der Webseite kann der Browser das jeweilige Formular dann automatisch ausfüllen.

Bei etwa 1.000 von 50.000 getesteten Webseiten beobachteten die Forscher Skripte, die das Problem zum Tracken ausnutzen: Die Skripte stammten von zwei Werbefirmen - der Aktiengesellschaft "Adthink Media", mit Hauptsitz in Frankreich und der Firma "OnAudience Ltd.", mit Sitz in London.

Ein unsichtbares Formular

Der Trick der Trackingdienste funktioniert so: ein Nutzer geht auf eine Webseite, die ein Anmeldeformular enthält. Er gibt seine Login-Daten ein, und der Browser fragt, ob er die Zugangsdaten für diese Webseite speichern soll. Im beschriebenen Szenario gestattet man dem Browser das.

Die Webseite hat ein externes Trackingskript eingebunden. Das erzeugt - in den meisten Fällen vermutlich ohne Wissen der Seitenbetreiber -  ein unsichtbares Formular auf der gleichen Webseite. Der Login-Manager trägt die Anmeldedaten dort selbständig ein und die für das Skript verantwortliche externe Firma kann sie einsehen.

Eine Liste betroffener Webseiten stellen die Forscher hier zur Verfügung.

Missbrauchspotenzial ist groß

In den konkreten Fällen, die von den Forschern beobachtet wurden, hielt sich der tatsächliche Missbrauch in Grenzen. Die Skripte sendeten die Anmeldedaten nicht im Klartext an die Werbefirmen, sondern griffen ausschließlich die E-Mail-Adresse ab und verschickten diese in „gehashter“ (also verschlüsselter) Form.

Die Forscher vermuten, dass es den beiden Unternehmen nicht darum geht, illegal E-Mail-Adressen zu sammeln, um diese kommerziell zu verwerten oder gar darum, komplette Login-Daten abzufangen. Stattdessen würden die, aus den E-Mail-Adressen generierten, Hashwerte wohl als "Identifier" genutzt - also als eindeutige Werte. Diese lassen sich einem bestimmten Nutzer zuordnen, um ihn auch über verschiedene Webseiten und Geräte hinweg wieder zu erkennen.

Allerdings wurden in der Vergangenheit auch Fälle beobachtet, bei denen mit diesem Trick tatsächlich Login-Daten im Klartext abgegriffen wurden. Die Sicherheitslücke ist schon länger bekannt und wurde, wie die Forscher anmerken, zumindest für Firefox schon vor elf Jahren beschrieben.

Firefox und Safari sind anfällig, Chrome nicht

Alle großen Browser haben eine Autofill-Funktion integriert, jedoch ist nicht bei allen die Attacke möglich. Die Forscher haben eine Demo-Webseite eingerichtet, die den Angriff nachbaut. Dort kann man fiktive Login-Daten eingeben, und die Webseite verrät einem, ob ein externes Skript in der Lage wäre, diese abzugreifen.

Im unserem Test mit einem Samsung Galaxy S8 (mit Android 7.0) „funktionierte“ der Trick bei Nutzung des Firefox-Browsers, jedoch nicht beim Chrome-Browser. Bei Chrome wäre nach Aussage der Forscher zuvor ein Klick oder eine sonstige Interaktion des Nutzers mit dem unsichtbaren Formular nötig. Der Safari-Browser auf einem iPhone 6 mit iOS 11.2.1 gab ebenfalls die Login-Daten preis.

Was tun?

Solange die Technologie- und Diensteanbieter das Problem nicht lösen, bleiben Nutzer gefährdet. Einziger wirksamer Schutz ist, die Autofill-Funktion nicht mehr zu nutzen. Natürlich büßt man dadurch aber auch viel Komfort ein. Eine weniger radikale Lösung könnte sein, die Autofill-Funktion nur bei wenigen, oft genutzten Webseiten zu gestatten: Seiten, die man für vertrauenswürdig und professionell genug hält, dass sie, ob wissentlich oder nicht, keine Tracking-Dienstleister mit fragwürdigen Geschäftsmodellen einbinden.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Messenger und Videochat

Der Facebook-Messenger, WhatsApp und Skype sind auf vielen Android-Geräten vorinstalliert. In Sachen Datenschutz sind diese Dienste allerdings längst nicht die beste Wahl. Die gute Nachricht: Es gibt gleich mehrere empfehlenswerte Alternativen.

Mehr
Betrug und Phishing 

Werbe-Apps: Von nervig bis gefährlich

Viele App-Anbieter*innen blenden in ihre Produkte Werbung ein, um damit Geld zu verdienen. Doch nicht alle halten sich dabei an die Regeln. Wir erklären, wie viel Werbung erlaubt ist und was Sie gegen zu viel Werbung tun können.

Mehr
Messenger 

Messenger-App Kontalk kurz vorgestellt (Android)

Der kostenlose Messenger Kontalk wird weltweit von Freiwilligen organisiert. Das Interesse an Nutzerdatenauswertung entfällt dadurch. Kontalk gibt es für Android und für den Desktop. Außerdem ist er mit dem Messenger Conversations kompatibel.

Mehr
YouTube-Video 

Beliebte App „Clean Master“: Böse Überraschung

Was früher der Buch-Tipp und später die Film-Empfehlung war, ist inzwischen der App-Tipp. Er gehört selbst bei technikfernen Medien längst zum guten Ton. Doch wissen die Portale überhaupt, was sie da empfehlen? Der Fall „Clean Master“ zeigt: Eher nicht.

Ansehen