Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern

Viele Webseiten beinhalten Tracking-Skripte von Drittanbietern, die E-Mail-Adressen aus Login-Managern im Browser extrahieren und an entfernte Server schicken. Das geht aus einer Analyse von rund 50.000 Webseiten durch Sicherheitsforscher der Princeton University hervor. Demnach enthielten über 1100 dieser Seiten datensammelnden JavaScript-Code zweier verschiedener Werbefirmen.

Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.

Datenklau mit unsichtbarem Formular

Zum automatisierten Abgreifen der E-Mail-Adressen muss die Autofill-Funktion im Browser aktiv sein. Nachdem der Nutzer während des Anmeldeprozesses auf der betreffenden Webseite dem dauerhaften Speichern der Login-Daten im Browser zugestimmt hat, lauert ihm das Tracking-Skript auf einer beliebigen Unterseite derselben Domain auf. Dort erzeugt es ein unsichtbares Login-Formular – und wartet anschließend einfach ab, bis der Login-Manager die abgefragten Daten selbständig einträgt.

Die Lösung: Autofill deaktivieren

Das beschriebene Angriffsszenario ist nicht neu: Die Forscher verweisen auf Beispiele, die bis zu elf Jahre zurückreichen. Anders als im aktuellen Fall wurden in der Vergangenheit häufig auch Adress-, Login- und andere vertrauliche Daten im Klartext abgegriffen. So beschrieb beispielsweise im Januar 2017 der finnische Webentwickler und Hacker Viljami Viljami Kuosmanen eine Phishing-Methode, die sich ebenfalls Autofill zunutze macht. Hierbei wird der Nutzer auf eine Webseite gelockt, um dort einige wenige Formulareingaben zu machen. Im Hintergrund füllt der Login-Manager derweil weitere unsichtbare Felder mit vertraulichen Daten aus.

Wie schon Kuosmanen raten auch die Forscher der Princeton University zum Deaktivieren der Autofill-Funktion im Browser. Wer sich selbst ein Bild vom Angriff machen möchte, kann ihn auf einer vom Forscherteam eingerichteten Demo-Webseite übrigens auch selbst nachvollziehen.

Hier zum vollständigen Text

Herausgeber: heise.de

 


Weitere Datenschutz News

 

DSB-Meldung - online & sicher 22.05.2018 Lesen
3 von 4 Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung 20.05.2018 Lesen
Datenschutz in der Cloud: US-Gerichtshof urteilt über Zugriff auf europäische Daten 28.02.2018 Lesen
Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 17.02.2018 Lesen
Tracking-Skripte klauen E-Mail-Adressen aus Web-Browsern 05.01.2018 Lesen
Neue EU-Datenschutzgrundverordnung: Vielen Firmen drohen böse Überraschungen 25.11.2017 Lesen
Uber verschwieg Daten-Diebstahl bei 50 Millionen Kunden 22.11.2017 Lesen
Ordinypt: Erpressungstrojaner bedroht deutsche Firmen 10.11.2017 Lesen
Kritische Lücken in WPA2 gefunden 17.10.2017 Lesen
Finger weg von SHA-1: 320 Millionen Passwörter geknackt 06.09.2017 Lesen
Cybercrime betrifft jeden - Schützen Sie Ihr Unternehmen 28.06.2017 Lesen
Mein Auto – meine Daten? 02.06.2017 Lesen
Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm 13.05.2017 Lesen
Hacker erpressen Apple mit Löschung der iCloud-Konten 23.03.2017 Lesen
Datenschutz-Grundverordnung: Bußgelder und Sanktionen 07.03.2017 Lesen