News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen

[PC295]

Im Bericht wird auch erwähnt, dass man auch bei Firefox problematische Erweiterungen gefunden hat.

Attacks involving Extension: Prior studies [6, 17, 18, 25] have detailed various techniques bywhich malicious extensions could leak sensitive information. Wang et al. [25] conducted an empiricalstudy on over 2400 Firefox extensions, revealing numerous vulnerabilities threatening web sessions.Obimbo et al. [18] showed how external attackers could take advantage of the elevated privilegesgiven to extensions by exploiting code vulnerabilities present in those extensions.

 

[Ranayna]

Und wie macht es Computerbase?

Ich glaube besser, zumindest kann ich das was @Fenatics zeigt nicht finden, oder ich suche an der falschen Stelle:

Also ist das Resultat: Das Problem liegt nicht hauptsaechlich an den Addons, sondern an schlampiger, bzw. nachlaessiger Programmierung.

 

[Kuristina]

Viele halten mich für verrückt weil ich ohne Adblocker unterwegs bin

Daran wird auch dieser Artikel nicht viel ändern. ^^

Dass Adblock nicht vertrauenswürdig ist, ist schon sehr lange bekannt.

Richtig. Wunder mich ja, dass das nicht längst aus dem Store geflogen ist.

 

[Cool Master]

das Interessiert doch ausser der Tech Blase niemanden.
Augen zu und durch, ist das Motto. 🙈

Ja, kann durchaus sein. Wobei wenn die Sachen direkt mit dabei wären und sie im Einrichtungsassistent angesprochen werden kann sich das ändern

 

[Simanova]

Stellungnahme von Amazon (Bleeping Computer)

At Amazon, customer security is a top priority, and we take several steps to protect it. Customer information entered into Amazon web sites is secure.

We encourage browser and extension developers to use security best practices to further protect customers using their services. - Amazon spokesperson

Kann ich bestätigen. Amazon nutzt Events um einen Zugriff auf das Feld zu unterbinden.

 

[Termy]

Im Bericht wird auch erwähnt, dass man auch bei Firefox problematische Erweiterungen gefunden hat.

Danke.
Bestätigt mich mal wieder darin, in meinem Haupt-Profil nur FOSS-Erweiterungen zu nutzen

 

[x.treme]

War auch recht schockiert, als ich gesehen habe was für umfangreiche Rechte die meisten Plugins einfordern.
Und wäre ja nicht das erste Mal, dass ein anfangs noch "seriöses" Plugin später verkauft wird und sich alle Daten zieht ...

Nutze mittlerweile einen maximal minimalen Ansatz bei Browser-Extensions.
Brave-Browser der die meisten Features die ich brauche eh schon abdeckt + KeePass.
Das war's

Ansonsten noch weitere spezialisierte Browser-Instanzen, e.g. für Shopping, wo ich dann ein wenig mehr Extensions habe (Shoop, etc.) aber auch mehr 3rd-Party Cookies etc. erlaube.

 

[cruscz]

Wundert mich irgendwie nicht, beim einzigen Browser der es nicht ermöglicht Passwörter über ein separates Masterpasswort zu schützen.
Da kann Google aus seiner Chrome-Werbung direkt das „deinen“ streichen:

Dein Passwort auf allen deinen Geräten!

 

[eyedexe]

Ich glaube besser, zumindest kann ich das was @Fenatics zeigt nicht finden, oder ich suche an der falschen Stelle:
Anhang anzeigen 1393623

da

 

[FR3DI]

sondern weiterhin brav den Firefox benutzt habe.

Firefox und Safari haben das Problem nicht? 😵

Erst schreiben wie toll doch der FF sei und dann das.😁

Und dann soll das Gras legalisiert werden....

Gruß Fred.

 

[Ranayna]

@eyedexe: Huh, ist das eine Safari Sache?
Sowohl in Chrome als auch in Firefox sehe ich diesen "Schatteninhalt" Abschnitt nicht. Oder liegts am Incognitomodus?
Oder ich schaue an der falschen Stelle, was am wahrscheinlichsten ist, so oft benutze ich die Devtools nicht

 

[murdock_cc]

Ich habe und hatte noch nie eine Erweiterung installiert. Viele halten mich für verrückt weil ich ohne Adblocker unterwegs bin....

Ich mag dir ja nicht den Tag versauen, aber hast du schon mal von Malvertising gehört?

 

[cruscz]

Viele halten mich für verrückt weil ich ohne Adblocker unterwegs bin...

Wer braucht denn für sowas AddOns? Spätestens seit es Pi-Hole gibt ist das Ganze selbst für Standarduser problemlos per eigenem DNS-Servers machbar…
Ok, ist natürlich eine Investition einen Raspberry zu kaufen, wenn man da sonst keine Verwendung für hat 🤓

 

[Linuxfreakgraz]

Gott sei Dank verwende ich nicht Chrome, aber ich kann mir gut vorstellen das bei dem von mir verwendeten Firefox es die Probleme auch gibt.

 

[Ranayna]

Wer braucht denn für sowas AddOns?

Alle die keine Werbung auf Youtube haben wollen denen YT Premium zu teuer ist.
Da kann DNS basiertes Blocken leider nichts dran tun.

 

[Donnidonis]

Standarduser

Ein Standarduser hat aber keinen RaspberryPi oder sonstiges, erst recht kein PiHole / AdGuard. Der Standarduser hat meist nicht mal einen Adblocker.

 

[eRacoon]

Wird denn der DOM Zugriff unter den Berechtigungen angezeigt, also kann ich das aktiv beurteilen als User?
Wie würde das im deutschen heißen, finde bei meinen Addons (Bezahlter VPN Anbieter) nur das als Maximum, das erste klingt aber sehr danach?

Berechtigungen

• Alle deine Daten auf allen Websites lesen und ändern
• Datenschutzeinstellungen ändern

 

[Kano]

Das ist nichts neues und jeder Web-Entwickler der sein Geld Wert ist weiß das. Wenn ihr einer Extension Vollzugriff gebt heißt das eben Vollzugriff. Unabhängig vom Browser.

Die Extension kann dann theoretisch auch einen Keylogger installieren und alle Eingaben an einen externen Server senden. Auf data Attribute im DOM kommt es dann auch nicht mehr an.

 

[rarp]

Ich habe und hatte noch nie eine Erweiterung installiert.

Klingt verrückt.

Viele halten mich für verrückt...

Ja, gut...

 

[naoki]

Wenn ich das richtig verstanden habe ist es ein komplexeres Problem, dass alle Browser, wenn auch vielleicht unterschiedlich stark betrifft.

Zunächst gewähren Browser den Add-ons Zugriff auf die im Browser abgelegten Credentials (Benutzername und Passwort). Das hängt klar von der Umsetzung im Browser ab und kann man umgehen, indem man die Passworter, wie schon zuvor erwähnt, in einem Passwortmanager (Keepass, KeepassXC etc.) außerhalb ablegt und über z.B. Autofill einfügt. Kostet natürlich Komfort.
Das verhindert aber nicht, dass Add-ons grundsätzlich die Credentials abgreifen, egal ob automatisch ausgefüllt oder manuell eingegeben. Entweder, weil der Browser die Daten nicht schützt oder weil der Diensteanbieter die Daten auf der Website ungeschützt im DOM ablegt. Fakt ist bei der Eingabe liegen BN+Passwort immer im Klartext vor und werden erst beim Abschicken per Transportverschlüsslung geschützt. Das betrifft dann auch jede andere Lücke, die Zugang zum Browser erlangt. Dem Problem kann man zum Teil begegnen, wenn man sich sehr radikal von Add-ons verabschiedet - wurde ja auch bereits erwähnt. Löst leider nicht das Thema mitlesen im Browser bei anderen Lücken auf dem System.
Etwas sicherer kann man mMn nur sein, wenn man eine 2FA nutzt, der zweite Faktor nutzt i.d.R. einen anderen Kanal. Klar, der muss auch wieder eingegeben werden, damit ist es dann aber maximal möglich, die Session zu kapern bzw. mitzulesen. Abhängig davon, wie der Dienst das umgesetzt hat.

Trotzdem sehr bedenklich..