Eine E-Mail-Adresse in Kombination mit einem Passwort eingeben, um Zugriff auf einen bestimmten Account zu erhalten – dieses Vorgehen ist im Internet Alltag. Weil es aber ziemlich mühsam wäre, jedes Mal unsere Daten neu eingeben zu müssen, besitzen aktuelle Browser häufig einen Login-Manager, der unsere Daten speichert. So können wir uns beim nächsten Besuch auf Knopfdruck einloggen.
Wirklich sicher ist die ganze Sache aber offenbar nicht: Denn wie Heise berichtet, haben Forscher der Princeton Universität herausgefunden, dass einige Werbefirmen offenbar Tracking-Skripte nutzen, um die im Login-Manager gespeicherten E-Mail-Adressen auszulesen – allerdings nicht im Klartext, sondern in Form eines MD5-Hashwerts.
Autofill führt zu Datenklau
Das Auslesen funktioniert laut Aussage der Forscher folgendermaßen: Der Nutzer gibt seine Daten zum Login auf einer beliebigen Webseite ein und klickt dann im entsprechenden Browser-Fenster auf Speichern, damit der Login-Manager sich die Daten merkt. Besucht der Nutzer anschließend Inhalte derselben Webseite ohne Login-Eingabe-Fenster, erzeugt das jetzt vorhandene Tracking-Skript ein für den Nutzer unsichtbares Login-Formular.
Wenn der Login-Manager die Nutzerdaten per Autofill-Funktion in das Formular eingibt, speichert das Skript den Hashwert der E-Mail-Adresse. Die Funktionsweise lässt sich auf einer Demo-Webseite der Forscher nachvollziehen.
Dabei geht es laut den Forschern und dem Bericht von Heise nicht darum, die Login-Daten zu erhalten oder die E-Mail-Adressen zu Spam-Zwecken zu missbrauchen, sondern um eine versteckte Form des Trackings, die Cookies unnötig macht.
Phishing-Versuche mit ähnlichen Methoden gab es bereits in der Vergangenheit, wie etwa die im Januar 2017 vom finnischen Webentwickler Viljami Kuosmanen aufgedeckten Fälle. Ähnlich wie hier empfehlen die Forscher auch in Bezug auf das Tracking-Skript die Deaktivierung von Autofill im Browser, um dem Vorgehen einen Riegel vorzuschieben.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.