Browser-Erweiterung WPSE verspricht mehr Internet-Sicherheit

Forscher der Technischen Universität Wien und der Università Ca’ Foscari Venezia haben ein Plug-in entwickelt, das browserseitig die sichere Ausführung von Webprotokollen garantieren soll. Vorgestellt wurde WPSE erstmals auf dem 27. Usenix Security Symposium in Baltimore, einer Konferenz für Systemsicherheit.

Den Wissenschaftlern zufolge kann das Plug-in Webanwendungen vor einer Vielzahl von Webattacken und fehlerhaften Protokoll-Implementierungen schützen. Als konkrete Beispiele nennen sie Angriffe auf OAuth 2.0 und SAML 2.0. Darüber hinaus gelang es mit WPSE, bei einer experimentellen Überprüfung von Websites Sicherheitslücken in über 60 Prozent der Sites zu identifizieren. Darunter hätten sich neue kritische Schwachstellen befunden, die durch Tracking-Bibliotheken wie Facebook eingeführt wurden – alle behebbar durch WPSE.

Der an der Entwicklung beteiligte Informatiker Matteo Maffei vom Institut für Logic and Computation der TU Wien stellt vor allem den Schutz beim Einloggen mithilfe von Social Media Accounts heraus. „Sich im Internet mit Hilfe von Social Media Accounts irgendwo einzuloggen, ist ganz alltäglich geworden“, lässt er sich in einer Presseaussendung zitieren. „Man kann sich etwa über den Facebook-Account bei Instagram anmelden, oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.“

Dabei erhalte die jeweilige Webseite, auf der man sich einloggen möchte, Daten direkt von Facebook oder Google. Nicht klar zu sehen sei dabei allerdings, welche Programme auf dieser Webseite noch laufen und eventuell gefährliche Aktionen anstoßen. So könnten die zur Authentifizierung eingesetzten Social-Media-Zugangsdaten etwa verbotenerweise genutzt werden, um zusätzliche Informationen abzusaugen: „Das attackierende Programm kann dann auf persönliche Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten Fall kann es sogar meinen Social-Media-Account übernehmen.“

Die Browsererweiterung WPSE sieht Maffei als wirksame Barriere zwischen bösartigen Scripts und dem Browser. „Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann auf der Webseite des Drittanbieters einloggt“, erklärt er. „Unser Plug-in ersetzt diesen Code mit einem zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet, während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Extension ist der Datenübermittler dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.“

Darüber hinaus ist Aufgabe des Plug-ins, den gesamten Datentransfer in den Browser und aus dem Browser zu überwachen: „Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden muss. Wenn sich die Webseite nicht daran hält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich sein kann.“

Eine erste Implementierung hat das Forscherteam als Erweiterung für Chrome durchgeführt, die jedoch noch nicht im Chrome Web Store verfügbar ist. Laut TU Wien laufen Gespräche mit Webbrowser-Herstellern, um das Plug-in in Zukunft im Browser einzubauen.