Digital Life
31.12.2017

Scripts spionieren im Browser gespeicherte Login-Daten aus

Wer Nutzernamen und Passwörter direkt im Browser abspeichert, könnte dadurch ausspioniert werden, wie Sicherheitsforscher warnen.

Nahezu jeder Webbrowser kommt mit einem integrierten Passwortmanager, der die entsprechenden Felder auf verschiedenen Seiten automatisch ausfüllt. Auch externe Lösungen bzw. Browser-Erweiterungen existieren etwa von LastPass und 1Password.

Einer neuen Studie des Center for Information Technology Policy der renommierten Princeton Universität zufolge werden genau diese praktischen Hilfen dazu missbraucht, Daten für Werbetreibende zu sammeln.

Konkret wurden die Scripts AdThink und OnAudience analysiert. Beide sind dafür ausgelegt, Informationen aus Browser-Passwortmanagern zu extrahieren. Um das zu schaffen, gaukeln sie dem Browser im Hintergrund unsichtbare Login-Formulare vor und zeichnen auf, was automatisch ausgefüllt wird. Diese Informationen können dann dazu genutzt werden, Nutzer von Webseite zu Webseite zu tracken. AdThink schickt die gesammelten Daten zu dem Datenhändler Axciom

Passwörter

Der Fokus liegt dabei zwar auf den Benutzernamen, allerdings könnten auch Passwörter so aufgezeichnet werden. Die einzige wirksame Lösung wäre es, eine Funktion einzuführen, bei der die Nutzer explizit zustimmen, bevor Formularfelder ausgefüllt werden.

Der Princton-Professor Arvind Narayanan, der an dem Projekt arbeitet, erklärte gegenüber The Verge, dass vielen Webseitenbetreibern gar nicht bewusst ist, was bestimmte Scripts auf ihrer Seite machen. Eine strengere Kontrolle würde viele Probleme hinsichtlich Datenschutz vermeiden.