Forscher der Princeton University haben herausgefunden, dass einige Websites Skripte einsetzen, um E-Mail-Adressen von Nutzern auszuspähen. Dies wird durch eine Schwachstelle in verschiedenen Passwort- und Login-Managern ermöglicht. Die E-Mail-Adressen wiederum dienen der Identifikation von Nutzern, um deren Internetaktivitäten zu verfolgen.
Stattdessen setzten einige Websitebetreiber nun Tracking-Skripte ein. „Sie missbrauchen dieselbe Technik, um E-Mail-Adressen zu extrahieren“, so die Forscher weiter. „Wir haben zwei Skripte gefunden, die diese Technik nutzen, um E-Mail-Adressen aus Login-Managern auszulesen. Die Adressen werden anschließend gehasht und an einen oder mehrere Dritt-Server verschickt.“
Die Skripte fügen demnach unsichtbare Anmeldeformulare in den Hintergrund einer Website ein. Erkennt der Browser ein solches Formular und füllt er es wie gewohnt aus, landen die Daten beim Websitebetreiber, der daraus eine eindeutige ID generiert, um Nutzer auf ihrem Weg durchs Internet zu verfolgen.
Generell hätten Login-Manager einen positiven Effekt auf die Sicherheit im Web, ergänzten die Forscher. „Browseranbieter sollten jedoch überdenken, ob sie einen heimlichen Zugriff auf automatisch ausgefüllte Anmeldeformulare erlauben. Generell sollten Browserentwickler und Standardisierungsgremien prüfen, wie etwas durch nicht vertrauenswürdige Skripte missbraucht werden kann.“
Schon Ende November 2017 hatten die Princeton-Forscher auf sogenannte Session-Replay-Skripte aufmerksam gemacht. Sie erlauben es Websitebetreibern, jegliche Interaktion von Nutzern mit ihren Online-Angeboten nachzuvollziehen. Ihrer Studie zufolge landen in Webformulare eingebebene Daten auch dann beim Betreiber der Seite, wenn das Formular nicht gespeichert und der Vorgang abgebrochen wird. Die Skripte sollen sogar in der Lage sein, versehentlich über die Zwischenablage eingefügte Inhalte zu erfassen.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.
[mit Material von Tom Jowitt, Silicon.co.uk]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
