Registrieren
x

Log in

Benutzername:

Passwort:
 

oder Registrieren

  Passwort vergessen?


Anti-Hack » ~Anti-Hack~ Zentrale » Globale News » Security News » Browser Add-ons können Daten abgreifen

Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Browser Add-ons können Daten abgreifen
13-07-2010, 10:29 PM
Beitrag #1
Steven Offline
Junior Member
**
Beiträge: 33
Registriert seit: Jun 2010
Bewertung 0
Browser Add-ons können Daten abgreifen
Code:
Browser-Erweiterungen nicht blind vertrauen

Auch wenn Google Chrome als sehr sicherer Browser gelten mag - es ist dennoch Vorsicht angebracht. Der Entwickler Andreas Grech hat demonstriert, wie sich mit einer Google-Chrome-Extension in Webseiten eingegebene Zugangsdaten ausspähen lassen.

Der auf Malta lebende Andreas Grech zeigt mit Beispielcode, dass es auch bei Google Chrome über Extensions möglich ist, unter anderem Benutzernamen und Passwörter auszulesen. Die Schadsoftware könnte sie dann etwa über E-Mail verschicken. Grech hat das mit seinen privaten Login-Daten bei Gmail, Facebook, Twitter und anderen bekannten Webseiten erfolgreich ausprobiert - im Google-Chrome-Repository ist seine Test-Extension nicht gelandet.

Das Auslesen von in Formulare eingegebenen Daten ist für die in Javascript und HTML geschriebenen Chrome-Extensions möglich, weil sie Zugriff auf das Document Object Model (DOM) erhalten. Immer wenn ein Nutzer ein Formular absendet, versucht Grechs einfache Erweiterung Username und Passwort abzufangen. Über einen Ajax-Aufruf werden sie dann inklusive einer E-Mail an Grech geschickt, danach wird dann das Formular ordnungsgemäß übermittelt, damit dem Benutzer nichts auffällt.

Grech will mit seinem Proof-of-Concept-Code vor allem den sorglosen Mitmenschen zeigen, dass das Thema Browsersicherheit nicht unterschätzt werden darf. Nur sehr wenige würden darüber nachdenken, was in einem Script vor sicht geht. Anderen Browser könnten ebenso anfällig für diesen Angriff sein, so Grech im eigenen Blog - wo auch der Beispielcode zu finden ist. Er habe sich aber für eine Demonstration mit Google Chrome entschieden, weil der Browser als der derzeit "sicherste Browser" gelte. Das will Grech nicht abstreiten, aber mahnt dazu, dennoch nicht blind fremder Software zu vertrauen, die in den Browser installiert wird. (ck)
quelle Golem

Finde ich genial... der Typ hat was "rausgefunden" was andere schon in diversen "Szene" Boards seid nem halben Jahr besprochen haben...

Um das ganze nochmal zusammen zufassen und noch ein paar zusätzliche Infos hinzuzufügen:

Open Source Browser wie Firefox, Google Chrome, Opera haben eine Add On schnittstelle die Addons, die in Javascript geschrieben werden einfügen können. Da man per JS auf Ereignisse und Objekte zugreifen kann, können diese ausgelesen werden und per Email oder auf einen FTP geschickt werden.
Was in dem Artikel nicht steht, es braucht zumindest beim Firefox garkeine Erweiterung. Man kann den Code auch direkt in eine Datei vom Browser integrieren und somit sämtliche Daten ausspähen.
Mal schauen ob sich noch ein bischen Beispiel Code ausfindig machen lässt oder sogar ein Beispiel Generator.. Stimmts Chris?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
14-07-2010, 12:20 PM
Beitrag #2
Netbios2k3 Offline
Junior Member
**
Beiträge: 23
Registriert seit: Jul 2010
Bewertung 0
Re: Browser Add-ons können Daten abgreifen
Smile da gibts mittel und wege für,allerdings schon länger.
Darauf will ich hier aber nicht weiter eingehen,da dieses Forum den Schutz solcher Sachen behandelt,und nicht dazu dient Hack-Anleitungen zu posten.
Für die einen ist Linux ein Betriebssystem, für die anderen das größte Textadventure der Welt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste

Kontakt   Anti-Hack - Gemeinsam gegen DDoS, Spam und Hacker   Nach oben   Zum Inhalt   Archiv-Modus   RSS-Synchronisation   Impressum