Chrome und Firefox leaken bei geschicktem Angriff geschützte Inhalte

überwachung, Spionage, Beobachtung, Fernglas, Fernrohr Bildquelle: Pixabay
Zwei der meistgenutzten Browser mussten von ihren Entwickler-Teams hinsichtlich der Implementierung neuer Standards im Rendering überarbeitet werden. Denn hier tat sich eine Sicherheitslücke auf, über die sich Inhalte auf anderen Seiten ausspionieren ließen, zu denen der Angreifer eigentlich keinen Zugang haben sollte.
Seitenkanal-Attacke via CSSAuch Fotos lassen sich rausholen
Betroffen hiervon waren sowohl Chrome als auch Firefox. Die anderen Browser waren gegen den konkreten Angriff nicht anfällig. Die Entwickler-Teams bei Google und Mozilla haben bereits reagiert und konnten die Schwachstelle beseitigen. Bei Chrome war das mit Version 63 Ende letzten Jahres der Fall, Firefox zog kürzlich mit der Version 60 nach. Daraufhin entschieden sich die Sicherheitsforscher, die auf das Problem aufmerksam wurden, jetzt für eine Veröffentlichung ihrer Erkenntnisse.

Der Angriff selbst, den zwei Forscherteams unabhängig voneinander entwickelten, funktioniert über iFrames. Diese ermöglichen es, andere Webinhalte in ein definiertes Feld der eigenen Seite einzubauen. Hier sorgt dann die so genannte Same-Origin-Policy dafür, dass der Seitenbetreiber keine Kenntnis darüber erlangen kann, was in dem iFrame dargestellt wird. Nur der Nutzer soll diese Kombination in fertiger Form zu Gesicht bekommen.

Minimale Zeitdifferenzen

Eine unsaubere Implementierung von neuen CSS-Funktionen ermöglichen es dem Seitenbetreiber aber, die Inhalte doch über einen Seitenkanalangriff auszuspionieren. Ausgenutzt wurde hier die Tatsache, dass über die ganze Seite gelegte Transparenz-Effekte mal schneller, mal langsamer umgesetzt werden - hier kommt es darauf an, wie der darunter liegende Pixel aussieht.

Diese minimalen Zeitunterschiede lassen sich messen und können per JavaScript weitergegeben an den Server zurückgeschickt werden. Dort lässt sich dann ein neues Bild zusammensetzen, auf dem der Inhalt des iFrames zu sehen ist. Die Forscher demonstrierten die Effektivität dessen, indem sie Facebook-Profile in das iFrame einbetten. Hier werden dann die vollständigen Profilinformationen des angemeldeten Nutzers angezeigt und lassen sich so quasi abfotografieren. Selbst Fotos können so in erkennbarer Qualität kopiert werden.

Download Chrome - Browser von Google Download Mozilla Firefox - Open-Source-Browser überwachung, Spionage, Beobachtung, Fernglas, Fernrohr überwachung, Spionage, Beobachtung, Fernglas, Fernrohr Pixabay
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden