News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen

[coffee4free]

Viele Chrome-Erweiterungen versorgen ihre Anwender mit nützlichen Features und sorgen so für eine angenehmere Erfahrung beim Surfen im Web. Häufig reichen die Berechtigungen dieser Tools aber zu weit. Forschern ist es gelungen, mit einer Chrome-Extension Passwörter teils namhafter Webportale im Klartext abzugreifen.

Zur News: Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen

 

[Crifty]

Wow der Anbieter der größten Datenkrake im Internet, lässt es zu das Erweiterungen für den hausinternen Browser den Datenschutz hinter sich lassen.

Das wäre fast schon zum Lachen, wenn es nicht so traurig wäre.

 

[schniposa2019]

Ich habe und hatte noch nie eine Erweiterung installiert. Viele halten mich für verrückt weil ich ohne Adblocker unterwegs bin....

 

[Cool Master]

Genau deswegen sage ich seit Jahren, sollten einige Funktionen von populären Erweiterungen direkt in den Kern der Browser gehen. Gutes Beispiel dafür ist Vivaldi mit den Maus Gesten. Das sollte einfach überall dabei sein. Die wenige KB oder MB machen den Kuchen auch nicht fett und mittlerweile ist die HW auch eher weniger ein Problem als vor 10 oder 20 Jahren.

 

[Termy]

Mich würde ja interessieren, ob neben Chromium-Browsern auch Firefox oder Safari davon betroffen sind? Ich würde von der Beschreibung mal davon ausgehen, aber irgendwie scheint die Meldung überall nur mehr oder weniger abgeschrieben zu werden 💩

 

[Darklordx]

Da bin ich froh, nicht auf den Chromezug aufgesprungen zu sein, sondern weiterhin brav den Firefox benutzt habe.

Aber was ist denn mit Microsoft Edge, der doch auf dem Chromium source code beruht?

Firefox und Safari haben das Problem nicht? 😵

 

[UhrenPeter]

Dass Adblock nicht vertrauenswürdig ist, ist schon sehr lange bekannt. uBlock ist das Mittel der Wahl!
Die Risiken die von Werbung ausgehen sind höher als von guten Werbeblockern wie uBlock.
(Adblock gehört eben nicht dazu!)
https://ublockorigin.com/de

Und Passwörter sollten niemals im Browser oder deren Addons gespeichert werden.
Einfach KeePass mit "Autofill-Funktion" ohne Browser-Integration, weil die Autofill-Funktion nur das Passwort "schreibt, Tab drückt, nochmal schreibt, Enter drückt und vom Zwischenspeicher löscht".

 

[NameHere]

Was ist mit Firefox Erweiterungen, die wohl mit Chrome Erweiterung kompatibel sind?

 

[Simanova]

Addons können Passwörter im Klartext auslesen? Auch diesbezüglich Glückwunsch an alle Browser die Chromium nutzen.

Ergänzung (4. September 2023)

Was ist mit Firefox Erweiterungen, die wohl mit Chrome Erweiterung kompatibel sind?

Firefox verwendet eine eigene Engine. Glaube kaum, dass die Entwickler bei Mozilla die Fehler von Google kopiert haben.

Jedoch sei der Zugriff auf Passwortfelder nicht grundsätzlich als Sicherheitsproblem einzustufen, sofern eine Erweiterung die Berechtigungen dafür ordnungsgemäß einhole.

Der Zugriff auf Passwortfelder sollte niemals durch Drittprogramme oder Addons möglich sein. Egal wie, wann wo. Welch unglaublich naive Aussage von Google.

 

[leipziger1979]

Und was ist mit FF?

Aber das ist eben das Problem wenn man diesem Monopolisten kein Einhalt gebietet und der machen darf was er will und unsere "dumme" Politik schaut wie so ein naives Kleinkind tatenlos zu.

Wenn man bedenkt was das für ein Theater war beim IE um die Jahrtausendwende, eine Schande das hier Google noch nicht in die Schranken gewiesen wurde.

 

[Fenatics]

Wenn ich das richtig verstehe, liegt das nicht zwangsweise an den Addons allein, sondern auch an den Website-Erstellern. Und hier ist Google mit dabei. Klar gibt es zu genüge Addons, die das DOM auslesen und bearbeiten können. Müssen sie ja auch, wenn Objekte versteckt, ausgeblendet, entfernt, usw. werden sollen. Wenn dann aber auch die Werte, die man in Eingabefeldern eingibt dynamisch ins DOM eingetragen werden, dann können Addons die Werte halt auch auslesen.

Beispiel: Google Login. Eingabe im Passwortfeld fügt den Wert automatisch im Klartext ins DOM ein. Rechte Seite unter data-inital-Value.

Btw. das ist nicht wirklich mein Passwort.

Ob es im Browser nun Sicherheiten gibt, die das Input Felder des Typs Password schützen? Keine Ahnung. Aber so ist es halt möglich sämtliche Felder auszulesen. Und das würde dann auch potentiell alle Browser betreffen, oder verstehe ich hier was falsch? Meine Screenshots sind nämlich mit FF gemacht.

 

[Termy]

Firefox verwendet eine eigene Engine. Glaube kaum, dass die Entwickler bei Mozilla die Fehler von Google kopiert haben.

Naja, es ist ja nicht unbedingt ein Implementierungsproblem, sondern eher ein konzeptionelles bzgl wie Erweiterungen Berechtigungen anfragen können. Und da sind WebExtensions meines Wissens schon recht nah beieinander zwischen chromium und FF.

 

[Syrato]

@Cool Master das Interessiert doch ausser der Tech Blase niemanden.
Augen zu und durch, ist das Motto. 🙈

 

[Ranayna]

Hochinteressant.
Ob so mancher "Hack" auf diesen Luecken beruht?

Ich kenne mich mit Webprogrammierung nicht aus, die Formulierung im Artikel laesst drauf schliessen, das es auch anders ginge als die Passwoerter im Klartext im DOM stehen zu haben?
Wenn das aber der Fall ist, ist das wirklich ein Problem der Addons, und nicht vielmehr ein Problem der jeweiligen Webseiten?

Das Addons oft weitgehende Rechte haben ist ja in der Regel auf den Downloadseiten vermerkt. Steht da "Can access and Modify all website data" oder sowas in der Art werde ich immer stutzig. Dementsprechend habe ich auch nur ein Addon installiert: uBlock Origin.
Dem vertraue ich genug, genauso wie ich ja auch Mozilla vertraue.

 

[S.Kara]

Und wie macht es Computerbase?

Hoffe das ist bei meinem kleinen Fuchs nicht so.

 

[Damien White]

Einfach keine Passwörter speichern sondern ein System verwenden um je Webseite einzigartige, aber leicht zu merkende, Passwörter zu erstellen.

Problem gelöst und viel Freude mit Addons.

EDIT: Nevermind, habs falsch verstanden, ist ja grausiger als gedacht.

 

[Simanova]

Wenn ich das richtig verstehe, liegt das nicht zwangsweise an den Addons allein, sondern auch an den Website-Erstellern. Und hier ist Google mit dabei.

Beispiel: Google Login. Eingabe im Passwortfeld fügt den Wert automatisch im Kalrtext ins DOM ein. Rechte Seite unter data-inital-Value.
Anhang anzeigen 1393620

In Firefox auch.
Deshalb müssen solche Felder geschützt werden.

 

[Fenatics]

Und wie macht es Computerbase?

Gerade versucht. CB schreibt es nicht dynamisch ins DOM. Siehe mein Beitrag zuvor im Vergleich zu Google.

@Simanova meine Screenshots sind btw. ebenfalls Firefox. Hätte ich dazu schreiben können.

 

[Simanova]

Einfach keine Passwörter speichern sondern ein System verwenden um je Webseite einzigartige, aber leicht zu merkende, Passwörter zu erstellen

Falsch. Die Addons lesen die Passwörter auch beim manuellen eintippen aus. Darum geht es ja.
Die Eingabefelder sind ungeschützt. Das hat nichts mit dem Passwortsave oder der Auto-Speicher-Funktion zu tun.

PS: Hab deinen Edit zu spät gelesen

 

[Damien White]

Deswegen ja auch mein Edit ... Aber danke fürs Offensichtliche.