Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
Viele Chrome-Erweiterungen versorgen ihre Anwender mit nützlichen Features und sorgen so für eine angenehmere Erfahrung beim Surfen im Web. Häufig reichen die Berechtigungen dieser Tools aber zu weit. Forschern ist es gelungen, mit einer Chrome-Extension Passwörter teils namhafter Webportale im Klartext abzugreifen.
Viele sensible Nutzerdaten stehen im DOM
Wie eine Forschergruppe der University of Wisconsin-Madison feststellte, speichern viele Online-Dienste die Passwörter und auch andere sensible Informationen ihrer Benutzer im Klartext im HTML-Code der jeweiligen Webseite zwischen. Diese Speicherung erfolgt demnach nur lokal auf dem System des Anwenders, was auf den ersten Blick unkritisch erscheint, solange die Daten den Rechner nicht in dieser Form verlassen. Spätestens beim Einsatz von Browser-Erweiterungen für Google Chrome könne dies aber dennoch zum Problem werden, da deren Berechtigungsmodell gegen fundamentale Sicherheitsprinzipien verstoße.
Infolgedessen sei es vielen Chrome-Extensions möglich, im DOM-Baum (Document Object Model) einer Webseite zwischengespeicherte Benutzereingaben abzugreifen – darunter auch Passwörter oder sensible Zahlungsinformationen. Grund dafür sei etwa das Fehlen einer Sicherheitsgrenze, die Benutzereingaben zuverlässig vor Zugriffen der Browser-Erweiterungen schütze. Auch Googles umstrittene Erweiterungs-API Manifest V3 biete trotz damit eingeführter neuer Sicherheitsbarrieren keinen zuverlässigen Schutz vor dem unrechtmäßigen Zugriff auf sensible Nutzerdaten einer Webseite.
Proof-of-Concept unter Vorwand in den Store geschleust
Um die Umsetzbarkeit dadurch möglicher Angriffe genauer zu untersuchen, entwickelten die Forscher laut BleepingComputer eine Proof-of-Concept-Erweiterung. Um diese im Chrome Web Store bereitstellen zu können, tarnten sie die Anwendung als eine Art GPT-basierten Assistenten. Dadurch sei es ihnen möglich gewesen, gegenüber Google glaubhaft zu vermitteln, dass der Zugriff auf Eingabefelder besuchter Webseiten für die Funktionalität der Erweiterung erforderlich ist. Folglich bestand die Chrome-Extension die Sicherheitsprüfungen des Store-Betreibers – sie wurde nicht als potenzielle Bedrohung eingestuft.
Nicht nur Gmail und Facebook speichern Passwörter im Klartext
Unter den 10.000 populärsten Domains fanden die Forscher nach eigenen Angaben insgesamt 1.100 Webseiten, die die Passwörter ihrer Besucher im Klartext im DOM speichern, wo Chrome-Erweiterungen mit entsprechenden Berechtigungen nach Belieben darauf zugreifen können. Auch unter namhaften Domains wie gmail.com oder cloudflare.com sei dies möglich gewesen. Auf anderen Seiten wie Facebook oder Citibank seien die Passwörter zwar nicht direkt im DOM ersichtlich, jedoch konnten die Forscher auch dort über die DOM-API mit zwei Zeilen JavaScript auf eingegebene Klartext-Kennwörter zugreifen. Auf Online-Marktplätzen wie Amazon könne eine Chrome-Erweiterung oftmals auch Kreditkartendaten aus entsprechenden Datenfeldern auslesen – inklusive Sicherheitscodes und Postleitzahlen.
Mehr als 17.000 Chrome-Erweiterungen haben die erforderlichen Rechte
Bei den Erweiterungen, die potenziell auf derart sensible Nutzerdaten zugreifen können, handelt es sich offenkundig nicht einmal um Einzelfälle. Rund 17.300 Extensions aus dem Chrome Web Store verfügen angeblich bereits über die dafür erforderlichen Berechtigungen. Dazu zählen auch beliebte Werbeblocker wie Adblock Plus oder Shopping-Erweiterungen wie Honey, die jeweils Millionen von Installationen vorweisen können. 190 Browser-Erweiterungen sollen sogar tatsächlich auf Passwortfelder der Nutzer zugreifen. Einige davon seien zwar Passwortmanager, von denen ein solches Verhalten zu erwarten ist, jedoch seien auch viele andere Erweiterungen dabei gewesen, „die Passwortfelder auswählten und speicherten“, was auf einen potenziellen Missbrauch hindeutet.
Gegenüber BleepingComputer soll ein Sprecher von Google bestätigt haben, dass der Konzern bereits Untersuchungen zu den Entdeckungen der Forscher eingeleitet habe. Jedoch sei der Zugriff auf Passwortfelder nicht grundsätzlich als Sicherheitsproblem einzustufen, sofern eine Erweiterung die Berechtigungen dafür ordnungsgemäß einhole. Dies gehe so auch aus den Security-FAQ für Chrome-Extensions hervor.