Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.435 Produkten

Olivia von Westernhagen 312

Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern

Tracking-Skripte klauen Login-Daten aus Webbrowsern

Bild: pixabay.com

Mittlerweile verfügen alle gängigen Browser über einen integrierten Login-Manager. Diese Funktion ist nicht nur praktisch für Nutzer, sondern auch für zwielichtige Werbefirmen, die die Daten fürs User-Tracking zweckentfremden.

Viele Webseiten beinhalten Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken. Das geht aus einer Analyse von rund 50.000 Webseiten durch Sicherheitsforscher der Princeton University hervor. Demnach enthielten über 1100 dieser Seiten datensammelnden JavaScript-Code zweier verschiedener Werbefirmen.

Anzeige

Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.

Princeton University
Das Tracking-Skript sammelt heimlich gespeicherte E-Mail-Adressen. (Bild: Princeton University)

Zum automatisierten Abgreifen der E-Mail-Adressen muss die Autofill-Funktion im Browser aktiv sein. Nachdem der Nutzer während des Anmeldeprozesses auf der betreffenden Webseite dem dauerhaften Speichern der Login-Daten im Browser zugestimmt hat, lauert ihm das Tracking-Skript auf einer beliebigen Unterseite derselben Domain auf. Dort erzeugt es ein unsichtbares Login-Formular – und wartet anschließend einfach ab, bis der Login-Manager die abgefragten Daten selbständig einträgt.

Das beschriebene Angriffsszenario ist nicht neu: Die Forscher verweisen auf Beispiele, die bis zu elf Jahre zurückreichen. Anders als im aktuellen Fall wurden in der Vergangenheit häufig auch Adress-, Login- und andere vertrauliche Daten im Klartext abgegriffen. So beschrieb beispielsweise im Januar 2017 der finnische Webentwickler und Hacker Viljami Viljami Kuosmanen eine Phishing-Methode, die sich ebenfalls Autofill zunutze macht. Hierbei wird der Nutzer auf eine Webseite gelockt, um dort einige wenige Formulareingaben zu machen. Im Hintergrund füllt der Login-Manager derweil weitere unsichtbare Felder mit vertraulichen Daten aus.

Wie schon Kuosmanen raten auch die Forscher der Princeton University zum Deaktivieren der Autofill-Funktion im Browser. Wer sich selbst ein Bild vom Angriff machen möchte, kann ihn auf einer vom Forscherteam eingerichteten Demo-Webseite übrigens auch selbst nachvollziehen. (ovw)

312 Kommentare

Themen:

Anzeige
  1. Session-Replay: Viele beliebte Webseiten zeichnen jegliche Texteingabe auf

    Session-Replay: Viele beliebte Webseiten zeichnen jegliche Texteingabe auf

    Mit einer Technik namens Session-Replay lassen sich Texteingaben auf Webseiten in Echtzeit erfassen, während sie passieren. Diese Daten werden oft an Drittwebseiten zum Zwecke der Besucheranalyse übermittelt.

  2. Phishing per Autofill: Chrome, Safari, Opera und Erweiterungen wie LastPass angreifbar

    Phishing per Autofill: Chrome, Safari, Opera und Erweiterungen wie LastPass angreifbar

    Chromium-basierte Browser, Safari und beliebte Erweiterungen wie der Passwortmanager LastPass lassen sich austricksen, um mehr über den Nutzer preiszugeben als dieser ahnt.

  3. DailyMotion anscheinend gehackt: 87,6 Millionen Nutzer betroffen

    DailyMotion anscheinend gehackt: 87,6 Millionen Nutzer betroffen

    Unbekannte Hacker sollen in das Server-System die Videoportals eingestiegen sein und neben E-Mail-Adressen auch geschützte Passwörter kopiert haben.

  4. Offizielles Forum der Krypto-Währung Ethereum gehackt

    Offizielles Forum der Krypto-Währung Ethereum gehackt

    Unbekannte Angreifer haben Daten von rund 16.500 Nutzern abgezogen. Darunter finden sich auch Passwörter, die aber zum Großteil mit einem als sicher geltenden Verfahren geschützt sind.

  1. Wie erstelle ich einen Instagram-Account?

    Du brauchst Hilfe beim Erstellen deines Instagram-Accounts? Wir erklären dir Schritt für Schritt, was du dabei beachten musst.

  2. Per VPN anonym surfen - so geht's

    Anonym surfen und downloaden - und das auch noch flott? Das geht nur mit Hilfe eines VPN-Dienstes.

  3. Viren: So schützt du deinen Mac

    Passwort

    Wie du deinen Mac am besten gegen Viren schützt, erklären wir dir in unserem tipps+tricks-Artikel.

  1. Nintendo Labo: Die Switch wird zum multifunktionalen Papp-Spielzeug

    Nintendo Labo: Die Switch wird zum multifunktionalen Papp-Spielzeug

    Ein Haus oder ein Klavier, eine Angel und ein ferngesteuerter Roboter: Mit Nintendo Labo lassen sich Papp-Konstruktionen basteln, die zusammen mit der Switch zum interaktiven Spielzeug werden.

  2. "Wenn die Linie fehlt ..."

    Impressionen von der diesjährigen Rosa-Luxemburg Konferenz in Berlin

  3. World Web Forum "Das Ende der Nationen": Jetzt im Livestream mitverfolgen!

    World Web Forum: Jetzt im Livestream mitverfolgen

    In Zürich beginnt das zweitägige World Web Forum – die Tickets sind längst ausverkauft. Dabei sein kann man aber trotzdem: heise online überträgt die Vorträge im Livestream.

  4. Fastfood ist eine Infektion des Körpers

    Auf die "westliche Ernährung" mit zu viel Fett und Zucker reagiert das Immunsystem durch das Auslösen einer Entzündung, die nach einer Studie auch anhalten könnte, wenn man sich wieder gesund ernährt

Anzeige