Browser-Erweiterung WPSE verspricht mehr Internet-Sicherheit

Forscher der Technischen Universität Wien und der Università Ca’ Foscari Venezia haben ein Plug-in entwickelt, das browserseitig die sichere Ausführung von Webprotokollen garantieren soll. Vorgestellt wurde WPSE erstmals auf dem 27. Usenix Security Symposium in Baltimore, einer Konferenz für Systemsicherheit.

Den Wissenschaftlern zufolge kann das Plug-in Webanwendungen vor einer Vielzahl von Webattacken und fehlerhaften Protokoll-Implementierungen schützen. Als konkrete Beispiele nennen sie Angriffe auf OAuth 2.0 und SAML 2.0. Darüber hinaus gelang es mit WPSE, bei einer experimentellen Überprüfung von Websites Sicherheitslücken in über 60 Prozent der Sites zu identifizieren. Darunter hätten sich neue kritische Schwachstellen befunden, die durch Tracking-Bibliotheken wie Facebook eingeführt wurden – alle behebbar durch WPSE.

Der an der Entwicklung beteiligte Informatiker Matteo Maffei vom Institut für Logic and Computation der TU Wien stellt vor allem den Schutz beim Einloggen mithilfe von Social Media Accounts heraus. “Sich im Internet mit Hilfe von Social Media Accounts irgendwo einzuloggen, ist ganz alltäglich geworden”, lässt er sich in einer Presseaussendung zitieren. “Man kann sich etwa über den Facebook-Account bei Instagram anmelden, oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.”

Dabei erhalte die jeweilige Webseite, auf der man sich einloggen möchte, Daten direkt von Facebook oder Google. Nicht klar zu sehen sei dabei allerdings, welche Programme auf dieser Webseite noch laufen und eventuell gefährliche Aktionen anstoßen. So könnten die zur Authentifizierung eingesetzten Social-Media-Zugangsdaten etwa verbotenerweise genutzt werden, um zusätzliche Informationen abzusaugen: “Das attackierende Programm kann dann auf persönliche Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten Fall kann es sogar meinen Social-Media-Account übernehmen.”

Die Browsererweiterung WPSE sieht Maffei als wirksame Barriere zwischen bösartigen Scripts und dem Browser. “Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann auf der Webseite des Drittanbieters einloggt”, erklärt er. “Unser Plug-in ersetzt diesen Code mit einem zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet, während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Extension ist der Datenübermittler dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.”

Darüber hinaus ist Aufgabe des Plug-ins, den gesamten Datentransfer in den Browser und aus dem Browser zu überwachen: “Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden muss. Wenn sich die Webseite nicht daran hält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich sein kann.”

Eine erste Implementierung hat das Forscherteam als Erweiterung für Chrome durchgeführt, die jedoch noch nicht im Chrome Web Store verfügbar ist. Laut TU Wien laufen Gespräche mit Webbrowser-Herstellern, um das Plug-in in Zukunft im Browser einzubauen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

2 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

5 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago