Sicherheitsforscher der ethischen Hackergruppe CyberArks Labs haben bereits vor einem Jahr eine Schwachstelle im Chrome-Browser entdeckt, die potenziellen Angreifern Passwörter praktisch auf dem Silbertablett serviert. Denn das Portal ins weltweite Internet hinterlegt eingegebene Kennwörter ebenso wie Cookies mit euren Daten als Klartext im Arbeitsspeicher, welche dort mithilfe diverser Tools ausgelesen werden können.
Aber nicht nur Chrome soll von der Schwachstelle betroffen sein, wie der deutsche Experte für Sicherheit und Windows Günther Born auf seiner Webseite Borns IT- und Windows-Blog mitteilt. Demnach könnten Passwörter aus allen Chromium-basierten Webbrowsern ebenso wie aus Mozilla Firefox respektive den entsprechenden Stellen im Arbeitsspeicher gelesen werden.
CyberArks Labs habe Google bereits vor gut einem Jahr über die Sicherheitslücke in Kenntnis gesetzt. Die Informationen wurden aber erst jetzt veröffentlicht, vermutlich, um potenziellen Angreifern nicht noch zusätzlich in die Karten zu spielen.
Google macht es sich einfach
Eine Antwort von Google findet sich im Sicherheits-FAQ zu Chromium. Darin heißt es zusammengefasst, dass es schlicht keine Möglichkeit gebe, sich gegen Nutzer mit böswilligen Absichten zur Wehr zu setzen, sobald diese einmal Zugang zu einem System erlangt hätten. Solch ein Angreifer könne, so Google weiter, ausführbare und DLL-Dateien ebenso wie Umgebungsvariablen und Konfigurationsdateien praktisch nach Belieben verändern. Es gebe daher wenig, was gegen solche Angriffe getan werden könne – sowohl seitens Google als auch des Nutzers.
Ein paar Tipps hat das Unternehmen dennoch auf Lager: Ihr könnt demnach immerhin die Menge an Informationen reduzieren, die ein Angreifer erbeuten kann. Dazu solltet ihr die automatische Vervollständigung ebenso wie das Speichern von Passwörtern in den Einstellungen von Chrome unterbinden. Wie hilfreich das mit Blick auf diese spezielle Schwachstelle ist, bleibt allerdings fraglich.
Sich selbst sieht Google offenbar nicht in der Verantwortung. Sowohl CyberArks Labs als auch Günther Born sind da jedoch anderer Meinung. Obgleich Google mit seiner Argumentation grundsätzlich Recht habe, sei es unverantwortlich, Passwörter als Klartext im Arbeitsspeicher zu hinterlegen. In Zukunft könnten Kennwörter übrigens gänzlich der Vergangenheit angehören. Lest mehr dazu im folgenden Artikel:
Kleinere Anpassungen scheint es bei Google dennoch gegeben zu haben: CyberArks Labs sei es rund einen Monat, nachdem man den Internet-Riesen über die Sicherheitslücke informiert habe, nicht mehr gelungen, Cookies-Daten zu extrahieren. Zumindest nicht auf Anhieb und erst nach einer Modifikation der dafür verwendeten Software. Nach weiteren zwei Monaten habe das jedoch ebenfalls nicht mehr funktioniert. Günther Born indes attestiert, dass es auch weiterhin möglich sei, Kennwörter als Klartext aus dem Arbeitsspeicher zu lesen.
Apropos: Erratet ihr, welche zehn Passwörter in Deutschland am beliebtesten sind - zumindest Stand Dezember 2016? Obwohl sich daran wohl nicht viel geändert haben wird:
Wie groß ist die Gefahr am Ende?
Das lässt sich nur schwer abschätzen. Google mag insofern Recht haben, als dass ein potenzieller Angreifer ohnehin erst Zugang zum System haben muss, um Cookies-Daten und Passwörter aus dem Speicher zu extrahieren. Wenn man so will, ist es dann ohnehin zu spät. Auf der anderen Seite sollte unserer Meinung nach nichts unversucht bleiben, Angreifern das Leben möglichst schwer zu machen.
Das wäre sonst ungefähr so, als ob man beispielsweise einen Tresor gar nicht erst zu schließen bräuchte, weil sobald jemand die Haustür überwunden hat, derjenige diesen ja ohnehin knacken kann.
Wie seht ihr das? Sollte Google aktiv werden und diese Schwachstelle ein für allemal schließen? Oder hat das Unternehmen vielleicht sogar Recht und es ergibt gar keinen Sinn? Schreibt es uns gerne in die Kommentare!
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.