Categories: Cloud

Webnutzer-Tracking über Passwort-Manager

Forscher der Princeton University haben herausgefunden, dass einige Websites Skripte einsetzen, um E-Mail-Adressen von Nutzern auszuspähen. Dies wird durch eine Schwachstelle in verschiedenen Passwort- und Login-Managern ermöglicht. Die E-Mail-Adressen wiederum dienen der Identifikation von Nutzern, um deren Internetaktivitäten zu verfolgen.

“Die zugrundeliegende Anfälligkeit der Login-Manager für den Diebstahl von Anmeldedaten ist seit Jahren bekannt”, schreiben die Forscher Gunes Acar, Steven Englehardt, and Arvind Narayanan. Bisher habe sich die Diskussion auf das Auslesen von Passwörtern im Rahmen von Cross-Site-Scripting-Angriffen konzentriert. “Glücklicherweise haben wir bei der Analyse von 50.000 Websites keinen Passwortdiebstahl entdeckt.”

Stattdessen setzten einige Websitebetreiber nun Tracking-Skripte ein. “Sie missbrauchen dieselbe Technik, um E-Mail-Adressen zu extrahieren”, so die Forscher weiter. “Wir haben zwei Skripte gefunden, die diese Technik nutzen, um E-Mail-Adressen aus Login-Managern auszulesen. Die Adressen werden anschließend gehasht und an einen oder mehrere Dritt-Server verschickt.”

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Die Skripte fügen demnach unsichtbare Anmeldeformulare in den Hintergrund einer Website ein. Erkennt der Browser ein solches Formular und füllt er es wie gewohnt aus, landen die Daten beim Websitebetreiber, der daraus eine eindeutige ID generiert, um Nutzer auf ihrem Weg durchs Internet zu verfolgen.

Generell hätten Login-Manager einen positiven Effekt auf die Sicherheit im Web, ergänzten die Forscher. “Browseranbieter sollten jedoch überdenken, ob sie einen heimlichen Zugriff auf automatisch ausgefüllte Anmeldeformulare erlauben. Generell sollten Browserentwickler und Standardisierungsgremien prüfen, wie etwas durch nicht vertrauenswürdige Skripte missbraucht werden kann.”

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Schon Ende November 2017 hatten die Princeton-Forscher auf sogenannte Session-Replay-Skripte aufmerksam gemacht. Sie erlauben es Websitebetreibern, jegliche Interaktion von Nutzern mit ihren Online-Angeboten nachzuvollziehen. Ihrer Studie zufolge landen in Webformulare eingebebene Daten auch dann beim Betreiber der Seite, wenn das Formular nicht gespeichert und der Vorgang abgebrochen wird. Die Skripte sollen sogar in der Lage sein, versehentlich über die Zwischenablage eingefügte Inhalte zu erfassen.

[mit Material von Tom Jowitt, Silicon.co.uk]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Black Friday: Ein Blick auf den Schnäppchen-Hype

Der Black Friday, der in den USA traditionell am Freitag nach Thanksgiving gefeiert wird, hat…

21 Minuten ago

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

3 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

3 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

4 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

4 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

4 Tagen ago