News vom 06.01.2018

Werbefirmen klauen Daten per Autofill-Schwachstelle

Ein Artikel von , veröffentlicht am 06.01.2018

Die großen Browser sind anfällig für einen Angriff, der die Autofill-Funktion ausnutzt. Damit können sensible Daten wie E-Mail-Adressen und Passwörter entwendet werden. Nur Chrome scheint vor dem Angriffsszenario sicher zu sein.

Die Autofill-Funktion von Browsern ist anfällig für Missbrauch. Das Problem ist schon lange bekannt und zumindest beim Firefox- und Safari-Browser noch nicht gelöst. Nun zeigten Forscher der US-amerikanischen Princeton University in einem groß angelegten Test, dass Trackingdienste auf Webseiten diese Schwachstelle systematisch ausnutzen. 

Die Autofill-Funktion soll helfen, Login-Daten und andere Inhalte in Anmeldeseiten oder Online-Formulare einzugeben. Dazu speichern die Browser einmal eingegebene Login-Daten für eine Webseite - allerdings nur, wenn der Nutzer zugestimmt hat. Beim nächsten Besuch der Webseite kann der Browser das jeweilige Formular dann automatisch ausfüllen.

Bei etwa 1.000 von 50.000 getesteten Webseiten beobachteten die Forscher Skripte, die das Problem zum Tracken ausnutzen: Die Skripte stammten von zwei Werbefirmen - der Aktiengesellschaft "Adthink Media", mit Hauptsitz in Frankreich und der Firma "OnAudience Ltd.", mit Sitz in London.

Ein unsichtbares Formular

Der Trick der Trackingdienste funktioniert so: ein Nutzer geht auf eine Webseite, die ein Anmeldeformular enthält. Er gibt seine Login-Daten ein, und der Browser fragt, ob er die Zugangsdaten für diese Webseite speichern soll. Im beschriebenen Szenario gestattet man dem Browser das.

Die Webseite hat ein externes Trackingskript eingebunden. Das erzeugt - in den meisten Fällen vermutlich ohne Wissen der Seitenbetreiber -  ein unsichtbares Formular auf der gleichen Webseite. Der Login-Manager trägt die Anmeldedaten dort selbständig ein und die für das Skript verantwortliche externe Firma kann sie einsehen.

Eine Liste betroffener Webseiten stellen die Forscher hier zur Verfügung.

Missbrauchspotenzial ist groß

In den konkreten Fällen, die von den Forschern beobachtet wurden, hielt sich der tatsächliche Missbrauch in Grenzen. Die Skripte sendeten die Anmeldedaten nicht im Klartext an die Werbefirmen, sondern griffen ausschließlich die E-Mail-Adresse ab und verschickten diese in „gehashter“ (also verschlüsselter) Form.

Die Forscher vermuten, dass es den beiden Unternehmen nicht darum geht, illegal E-Mail-Adressen zu sammeln, um diese kommerziell zu verwerten oder gar darum, komplette Login-Daten abzufangen. Stattdessen würden die, aus den E-Mail-Adressen generierten, Hashwerte wohl als "Identifier" genutzt - also als eindeutige Werte. Diese lassen sich einem bestimmten Nutzer zuordnen, um ihn auch über verschiedene Webseiten und Geräte hinweg wieder zu erkennen.

Allerdings wurden in der Vergangenheit auch Fälle beobachtet, bei denen mit diesem Trick tatsächlich Login-Daten im Klartext abgegriffen wurden. Die Sicherheitslücke ist schon länger bekannt und wurde, wie die Forscher anmerken, zumindest für Firefox schon vor elf Jahren beschrieben.

Firefox und Safari sind anfällig, Chrome nicht

Alle großen Browser haben eine Autofill-Funktion integriert, jedoch ist nicht bei allen die Attacke möglich. Die Forscher haben eine Demo-Webseite eingerichtet, die den Angriff nachbaut. Dort kann man fiktive Login-Daten eingeben, und die Webseite verrät einem, ob ein externes Skript in der Lage wäre, diese abzugreifen.

Im unserem Test mit einem Samsung Galaxy S8 (mit Android 7.0) „funktionierte“ der Trick bei Nutzung des Firefox-Browsers, jedoch nicht beim Chrome-Browser. Bei Chrome wäre nach Aussage der Forscher zuvor ein Klick oder eine sonstige Interaktion des Nutzers mit dem unsichtbaren Formular nötig. Der Safari-Browser auf einem iPhone 6 mit iOS 11.2.1 gab ebenfalls die Login-Daten preis.

Was tun?

Solange die Technologie- und Diensteanbieter das Problem nicht lösen, bleiben Nutzer gefährdet. Einziger wirksamer Schutz ist, die Autofill-Funktion nicht mehr zu nutzen. Natürlich büßt man dadurch aber auch viel Komfort ein. Eine weniger radikale Lösung könnte sein, die Autofill-Funktion nur bei wenigen, oft genutzten Webseiten zu gestatten: Seiten, die man für vertrauenswürdig und professionell genug hält, dass sie, ob wissentlich oder nicht, keine Tracking-Dienstleister mit fragwürdigen Geschäftsmodellen einbinden.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

AdVersary: Werbefreie Zone (Android)

Werbung in Apps ist nicht nur lästig, sie kann auch in die Privatsphäre eines Nutzers eingreifen. Zudem können Werbebanner Links zu schädlichen Seiten enthalten. Eine neue Android-App namens AdVersary entfernt Werbung aus anderen Apps.

Mehr
Ratgeber 

Liste: Wichtige Identifier bei Android

In unseren App-Tests und beim Thema Tracking erwähnen wir sie regelmäßig: Sogenannte Identifier, also Identitäts-Informationen wie Android-ID oder IMEI. Wir erklären, was die rätselhaften Abkürzungen bedeuten und was sie mit Privatsphäre zu tun haben.

Mehr
Ratgeber 

Apples Siri: Praktische Wanze?

Siri führt Sprachbefehle auf Apple-Geräten aus. Die Privatsphäre der Nutzer*innen soll dabei geachtet werden. Um zu funktionieren, sendet das Programm jedoch viele persönliche Daten an Apple-Server. Ein Überblick.

Mehr
YouTube-Video 

Sichere Cloud-Dienste: Alternativen zu Google Drive und Dropbox

Ihre Daten sollen nur für Sie und für niemand anderen zugänglich sein - das aber bitte überall und zu jeder Zeit? Nichts leichter als das - mit sicheren Cloud-Diensten. Wie sie funktionieren und welche Anbieter wir empfehlen, erfahren Sie im Video.

Ansehen