Thema: Zugangsdaten in Gefahr - Browser-Erweiterungen nicht blind vertrauen

[SiLæncer]

Auch wenn Google Chrome als sehr sicherer Browser gelten mag - es ist dennoch Vorsicht angebracht. Der Entwickler Andreas Grech hat demonstriert, wie sich mit einer Google-Chrome-Extension in Webseiten eingegebene Zugangsdaten ausspähen lassen.

Der auf Malta lebende Andreas Grech zeigt mit Beispielcode, dass es auch bei Google Chrome über Extensions möglich ist, unter anderem Benutzernamen und Passwörter auszulesen. Die Schadsoftware könnte sie dann etwa über E-Mail verschicken. Grech hat das mit seinen privaten Login-Daten bei Gmail, Facebook, Twitter und anderen bekannten Webseiten erfolgreich ausprobiert - im Google-Chrome-Repository ist seine Test-Extension nicht gelandet.

Das Auslesen von in Formulare eingegebenen Daten ist für die in Javascript und HTML geschriebenen Chrome-Extensions möglich, weil sie Zugriff auf das Document Object Model (DOM) erhalten. Immer wenn ein Nutzer ein Formular absendet, versucht Grechs einfache Erweiterung Username und Passwort abzufangen. Über einen Ajax-Aufruf werden sie dann inklusive einer E-Mail an Grech geschickt, danach wird dann das Formular ordnungsgemäß übermittelt, damit dem Benutzer nichts auffällt.

Grech will mit seinem Proof-of-Concept-Code vor allem den sorglosen Mitmenschen zeigen, dass das Thema Browsersicherheit nicht unterschätzt werden darf. Nur sehr wenige würden darüber nachdenken, was in einem Script vor sicht geht. Anderen Browser könnten ebenso anfällig für diesen Angriff sein, so Grech im eigenen Blog - wo auch der Beispielcode zu finden ist. Er habe sich aber für eine Demonstration mit Google Chrome entschieden, weil der Browser als der derzeit "sicherste Browser" gelte. Das will Grech nicht abstreiten, aber mahnt dazu, dennoch nicht blind fremder Software zu vertrauen, die in den Browser installiert wird.

Quelle : www.golem.de

[SiLæncer]

Mozilla hat die Firefox-Erweiterung "Mozilla Sniffer" aus dem Download-Bereich entfernt, die ihrem Namen alle Ehre macht: Einmal installiert, überwacht die Schadsoftware sämtliche Login-Vorgänge und sendet die erschnüffelten Zugangsdaten samt der dazugehörigen URLs an einen fremden Server. Das Add-on basiert auf der offenbar harmlosen Erweiterung Tamper Data, die Webentwickler bei der Analyse von HTTP-Headern unterstützt. Laut Mozilla wurde der Mozilla Sniffer am 6. Juni dieses Jahres in den Download-Bereich aufgenommen und seitdem etwa 1800 Mal heruntergeladen.

334 Benutzer sollen das Add-on täglich nutzen. Nachdem die Schnüffelfunktion am 12. Juli entdeckt wurde, hat Mozilla die Erweiterung umgehend aus seinem Katalog gelöscht und auf die Blocklist gesetzt, wodurch die Anwender der Schadsoftware gewarnt und zur Deinstallation der selbigen aufgefordert werden. Das Add-on soll durch die Deinstallation vollständig entfernt werden. Im Anschluss sollte man sämtliche Passwörter ändern.

Im selben Atemzug warnt Mozilla vor der Erweiterung CoolPreviews in Version 3.0.1 und älter. Durch untergejubelten JavaScript-Code können sich Angreifer Zugriff auf Systemressourcen verschaffen. Es genügt bereits, mit der Maus über einen manipulierten Link zu fahren, um den unerwünschten Code auszuführen. Mozilla rechnet damit, dass etwa 177.000 Anwender eine verwundbare Version einsetzen. Die aktuelle Release 3.1.0625 soll nicht mehr von dieser Sicherheitslücke betroffen sein. Nutzer älterer Versionen fordert der Update-Manager zur Aktualisierung des Add-ons auf.

Bereits mehrfach haben Hacker Mozillas Add-on-Katalog für ihre eigenen Zwecke missbraucht. So enthielt etwa die Firefox-Erweiterung Master Filer den Trojaner Bifrose, der noch nach der Deinstallation des Add-ons auf den Rechnern der etwa 700 Anwender wütete. Erst der Einsatz eines Virenscanners konnte dem Schädling den Garaus machen. Auch auf Online-Banking spezialisierte Spionagesoftware hat sich schon in Form einer Erweiterung in den beliebten Open-Source-Browser eingenistet. Mozilla überarbeitet seit einigen Monaten das Review-System, sodass in Zukunft sichergestellt sein soll, dass kein ungeprüfter Code über die Add-on-Seite verbreitet wird.

Benutzer von Google Chrome sollten ebenfalls wachsam sein, denn auch der Browser des Suchmaschinenriesen ist keineswegs vor bösartigem JavaScript-Code gefeit, wie Andreas Greich in seinem Blog demonstriert. Nur wenige Zeilen Code reichen aus, um einen simplen Passwortsammler nach dem Vorbild des Mozilla Sniffers zu bauen. Eine Schwachstelle nutzt das Add-on nicht aus, prinzipiell können alle Erweiterungen auf geöffnete Webseiten sowie eingegebene Formulardaten zugreifen und diese an beliebige Server schicken.

Quelle : www.heise.de

[SiLæncer]

Mozilla untersucht zwar die Erweiterungen für den Firefox nach bekannter Malware, allerdings wird dabei keine Überprüfung auf Codeebene vorgenommen. Insofern ist unklar, was die Addons im Hintergrund konkret machen.

Aus diesem Grund will sich Mozilla künftig verstärkt um diese Thematik kümmern. Ungeprüfte Erweiterungen sollen mit einem entsprechenden Button gekennzeichnet werden. Zudem will man diese Addons dann im Hinblick auf die Auflistungen weiter hinten einreihen.

Trotzdem wird es auch in Zukunft experimentelle Addons für den Firefox geben. Einer Totalabschottung will man diesbezüglich aus dem Weg gehen. Durch entsprechend klare Hinweise will man allerdings auch Normalanwender ausdrücklich auf potenzielle Gefahren hinweisen.

Quelle : http://winfuture.de