Unsichere Passwortverwaltung
Gefahr für Zugangsdaten in Chrome und Edge
Sicherheitsforscher warnen davor, dass Passwörter in Chromium-Browsern unzureichend geschützt sind. Wer physischen Zugang zu einem Gerät hat, kann dadurch komplette Konten- und Login-Informationen auslesen. Google will darin jedoch kein Problem sehen.
Der in Diensten von Cyberark stehende Sicherheitsexperte Zeev Ben Porat ist auf ein gravierendes Problem bei der Verarbeitung sensibler Informationen in Google Chromium gestoßen. Seinen Ausführungen zufolge legen darauf basierende Browser wie Google Chrome und Microsoft Edge zahlreiche wichtige Daten ungeschützt im Arbeitsspeicher ab. So konnte Porat dort nicht nur regelmäßig genutzte Passwörter im Klartext finden, sondern auch gleich noch die zugehörigen URLs und Benutzernamen. Auch wenn diese in verschiedenen Bereichen liegen, lassen sie sich von böswilligen Gesellen ohne allzu großen Aufwand zusammenführen, um so einen hochsensiblen Datenschatz mit kompletten Identifikationsprofilen zu erbeuten. Je komplexer die Passwörter sind, desto einfacher lassen sie sich finden und zuordnen. Doch damit nicht genug. Gemeinsam mit Kollegen konnte der Security-Fachmann die Browser auch dazu bringen, die anderen Login-Datensätze aus der integrierten Passwort-Verwaltung entschlüsselt in den Speicher zu übertragen, sodass auch diese abgefischt werden können. Bei der weiteren Untersuchung fanden sie im Speicher außerdem noch unverschlüsselte Session-Cookies, die weitere sensible Informationen preisgeben und die Übernahme von Anwendungs-Konten ermöglichen. Das gelang unter anderem mit Zugängen für Github, Gmail und Onedrive.
Noch haarsträubender als diese unnötigen Schwachstellen ist jedoch die Reaktion von Google darauf. Wie der Forscher in seinem Blogpost ausführt, hatte er seine Erkenntnisse dem Softwarekonzern bereits vor fast einem Jahr mitgeteilt und dabei auch darauf hingewiesen, dass ähnliche Probleme schon 2015 von anderen Security-Experten gemeldet worden waren. Google war das offenbar auch bekannt, aber unternehmen will das Unternehmen dagegen trotzdem nichts. Stattdessen verweist der Konzern auf einen Passus in den Chromium-FAQs zu lokalen physischen Attacken: „Wir betrachten diese Angriffe nicht als Teil des Chrome-Bedrohungsmodells, da Chrome (oder jede andere Anwendung) keine Möglichkeit hat, sich gegen einen böswilligen Benutzer zu verteidigen, dem es gelungen ist, sich als Sie auf Ihrem Gerät anzumelden, oder der Software mit den Rechten Ihres Betriebssystem-Benutzerkontos ausführen kann.“ Dabei verweist Google auf die noch wesentlich tiefgreifenderen Schad-Möglichkeiten, die ein Nutzer mit solchem Zugang hat. Das ist zwar grundsätzlich richtig, würde aber auch entsprechende Kenntnisse voraussetzen. Gerade im Business-Umfeld sind jedoch Szenarien denkbar, bei denen sich beispielsweise ein gekündigter Kollege mit nur etwas technischem Verständnis oder Hilfe Zugang zu fremden Konten und Informationen verschaffen könnte, um mit diesen allerhand Probleme zu verursachen. Etwas überspitzt formuliert könnte man mit den Argumenten des Chromium-Teams auch argumentieren, dass Bankräuber mit Zugang zum Gebäude und dem passenden Werkzeug auch den Tresor aufbrechen könnten, weshalb es ausreichend ist, die Bargeldreserven und sonstigen Wertgegenstände einfach auf verschiedene Stellen im Schalterraum zu verteilen.
Trotz der Absage verzeichnete Porat in den folgenden Wochen einige Änderungen, mit denen manche seiner Methoden zunächst nicht mehr funktionierten. Nach etwas Recherche war aber klar, dass es sich dabei eher um kosmetische Veränderungen handelte. „Unabhängig davon, ob es sich dabei um spezielle Versuche der Schadensbegrenzung oder um ein kontinuierliches ‘Lasst uns den Speicherzugriff erschweren‘-Verfahren handelt, sind sie ziemlich schwach, da es recht einfach ist, ein Zugriffsprogramm für diese Arten von Änderungen zu verallgemeinern“, so der Experte.
Lesen Sie mehr zum Thema
