Mit einer Google-Chrome-Extension veranschaulicht Herr Grech, wie auch bei dem recht sicherem Browser Chrome sensible Daten ausgespäht werden können. Die von dem auf Malta lebenden Entwickler programmierte Schadsoftware ist in der Lage die so ausgelesenen Daten per e-Mail zu verschicken. Golem berichtet, dass Herr Grech diese Vorgehensweise bei seinen privaten Gmail-, Facebook-, Twitter- und anderen bekannten Webseiten-Login-Daten bereits erfolgreich überprüft hat. Die Google-Chrome-Repository war bisher gegen die Test-Extension von Andreas Grech resistent.

Mit der in Javascript und HTML programmierten Chrome Extension können in Formulare eingegeben Daten ausgespäht werden. Dieses auslesen der eingegebenen Daten ermöglicht der Zugriff auf das Document Object Model (kurz: DOM). Sobald ein Formular abgeschickt wird versucht die von Grech entwickelte Software Usernamen und Passwort des Internet-Nutzers zu parieren.

Damit dem Absender der Daten die Manipulation nicht auffällt, werden seine Daten über einen Ajax-Request inklusive einer e-Mail an Grech geschickt und im Anschluss daran das Formblatt ordnungsgemäß weitergeleitet. Der Entwickler möchte mit seinem Proof-of-Concept-Code darauf hinweisen, dass auch beim Thema Browser-Sicherheit ein gesundes Misstrauen wichtig ist und nicht jeder unbekannten Software, die in den Browser installiert wird, unbesehen vertraut werden kann.

• Golem.de
• Andreas Grech Blog
• Document Object Model (kurz: DOM)

letzten News

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code