Passwort-Manager im Firefox sofort abschalten
Freitag, 19. März 2010, 11:31 Uhr | Autor: ich
Vor ein paar Tagen veröffentlichte Robert “RSnake” Hansen ein kleines Demo:
“XSS demo for stealing passwords from the Firefox password manager” (ha.ckers.org)
Auf den ersten Blick sieht das Demo wenig spektakulär aus. Ein Eingabeformular in welches man Zugangsdaten eingibt, diese werden im Passwort-Manager des Firefox gespeichert und der Firefox erinnert sich an das Gespeicherte, naja, dies soll der Passwort-Manager doch auch machen?! Es öffnet sich ein Alert per JavaScript in dem das Passwort angezeigt wird – kennt man auch irgendwie. In dem Add-On Web Developer (addons.mozilla.org) gibt es ja auch einen Menüpunkt, über den man Passworte anzeigen lassen kann, die in ein Formular automatisch vom Passwort-Manager eingefügt wurden – also auch nicht neu!?
Weit gefehlt!
Das was Robert Hansen da ausgegraben hat ist so gefährlich, dass man jedem nur dringend (!) raten kann den Passwort-Manager sofort zu deaktivieren. Nach der Deaktivierung ist es mir zwar nicht gelungen die noch gespeicherten Zugangsdaten auszulesen, aber 100% ausschließen mag ich die Möglichkeit auch nicht, weshalb ich auch dazu raten möchte die Zugangsdaten aus dem Passwort-Manager zu löschen. Ich habe bisher nur einen funktionierenden PoC für den Firefox, aber grundsätzlich besteht wohl in jedem Browser mit einem Passwort-Manager solch eine Lücke.
Ich weiß nicht ob Robert Hansen die Tragweite seines Fundes klar ist oder ob er es bewusst nicht an die große Glocke gehängt hat. Auf seinen Seiten gibt es keinen weiteren Hinweis oder Link zu der Demo. Über welche Website ich darauf gestoßen wurde, weiß ich jetzt nicht mehr, aber auch dort war es eher eine Randbemerkung.
In dem kleinen Screencast unten sieht man zwei Fenster, oben den Firefox (zwei Tabs) und unten einen Texteditor in dem die geöffnete Datei mit den abgefangenen Zugangsdaten angezeigt wird.
Erst werden in dem Formular die Zugangsdaten eingegeben und dann im Passwort-Manager gespeichert. Wird das Formular erneut aufgerufen, so füllt der Firefox die Felder automatisch aus. Im zweiten Tab ist nur eine langweilige Seite zu sehen. Das beim Aufruf der Seite die Zugangsdaten aus dem Passwort-Manager ausgelesen und gespeichert werden, bemerkt man nur in der Datei im Texteditor.
Leider füllt der Firefox die Felder mit den Zugangsdaten immer automatisch aus, dies kann man ihm nur abgewöhnen wenn man mehr als einen Account pro Website verwaltet – was bei den meisten Surfern wohl eher selten vorkommt.
Dem Passwort-Manager ist es egal ob ein Loginformular nun auf
http://domain.tld/
http://domain.tld/user/
http://domain.tld/secure/login/
oder
http://domain.tld/altes/vergessenes/zeug/
zu finden ist. Wird in der Adresszeile ein domain.tld gefunden so füllt er das Formular aus.
Dieser Automatismus beim Ausfüllen und die Beliebigkeit der URL kommt den Cyberkriminellen zu Hilfe.
Der Firefox müsste zum einen die URLs unterscheiden, über die ein legitimer Login erfolgt und er sollte das Ausfüllen der Felder nur nach einer Bestätigung des Benutzers ausführen.
In sehr vielen Websites gibt es XSS-Lücken. Wenn diese nicht auf der Seite mit dem Login zu finden ist, so meinen die Websitebetreiber vielfach, die Lücke wäre nicht gefährlich. Hansens Fund zeigt aber, jegliche XSS-Lücke, egal auf welcher Unterseite, lässt sich ausnutzen um an die Zugangsdaten der registrierten User zu gelangen.
Der Cyberkriminelle braucht nicht viel für seinen erfolgreichen Angriff:
- Eine für XSS anfällige Website – egal welche Unterseite.
- Registrierte User die die Zugangsdaten im Browser speichern.
Ein Opfer wird es noch nicht einmal bemerken, wenn die Zugangsdaten dem Kriminellen in den Schoß gefallen sind, da die Übermittlung unbemerkt im Hintergrund abläuft. Es reicht aus eine präparierte Website zu besuchen.
Das Hauptproblem sind die Websites in denen es Lücken zu XSS gibt, ohne Frage, aber der Passwort-Manager geht dem Cyberkriminellen hilfreich zur Hand. Angeblich stecken in 60% bis 80% (ich würde eher sagen, gefühlte 98%) der Websites Lücken zu Cross-Site Scripting, d.h. jeder Surfer der mit dem Firefox surft und darin die Zugangsdaten speichern lässt, kann Opfer von Cyberkriminellen werden.
Update: 21:50 Uhr
Jetzt weiß ich warum Robert Hansen es nicht an die große Glocke gehängt hat. :O)
“Löchriger Firefox Passwort Manager” (heise.de)
News-Meldung vom 20.07.2007 00:07
Freitag, 19. März 2010, 19:27 Uhr
Nachdem der Exploit auf JavaScript basiert, könnte es hilfreich sein, das zu deaktivieren – aber natürlich ist es sehr schwer, hier eine sinnvolle Whitelist zu pflegen.
Oder aber, mehrere Passwörter speichern (auch nonsense-passwörter) – dann muss man nämlich vorher den Login-Namen auswählen, das heißt, das Passwort wird nicht automatisch eingefügt, sondern nur wenn man seinen echten Namen benutzt.
Ich glaube, bei Opera wäre so etwas nicht möglich. Bei Opera werden die betreffenden Felder gelb markiert, und man muss Strg+Enter drücken, um sie zu füllen. Generell sollte das ja das Problem lösen: Man muss aktiv dafür sorgen, dass die Felder gefüllt werden.
Freitag, 19. März 2010, 20:15 Uhr
Das Add-On NoScript (addons.mozilla.org) wird wahrscheinlich die meisten Otto-Normal-User überfordern, da gibt es viele Einstellmöglichkeiten, wo dann aufgegeben wird, was dazu führt dass das Add-On deinstalliert oder alles zugelassen wird.
Das mit dem zweiten Account wäre eine Möglichkeit, hatte ich ja erwähnt.
Den Opera wollte ich zum jetzigen Zeitpunkt nicht empfehlen, da dort wohl auch noch eine ungepatchte Lücke vorliegt:
“Gefährliche Sicherheitslücke in Opera” (heise.de)
Für Äpfelchen-User wäre evtl. 1Password (agilewebsolutions.com) eine Alternative, welches im Safari und im Firefox genutzt werden kann, aber leider nicht im Opera. Ob es etwas vergleichbares für Windows gibt weiß ich nicht, zumindest habe ich nichts finden können.
Samstag, 20. März 2010, 1:46 Uhr
Ist das nicht extrem faszinierend? Ich bläue seit min. 2 Dekaden Leuten immer und immer wieder ein: Benutzen Sie keine Automatismen, wenn es um Nutzernamen und Passwortabfragen geht. Das ist einfach pfui-bah bah.
Natürlich gibt es dann immer wieder Personen die argumentieren: “Wissen Sie wie oft ich am Tag meinen Benutzernamen und das dazugehörige Passwort auf Seiten eingeben muss? Da hätte ich ja viel zu tun.” (diese Leute blicken sich dann meist Beifall heischend um, und bekommen diesen dann (wenigstens im Stillen)).
Und ich stelle dem entgegen: “Nein, hätten Sie nicht. Wie war gleich die Rufnummer Ihrer Mutter/Ihres Vaters, deren Geburtsname, Geburtstag und die aktuelle Adressen? Selbiges für wie viel Verwandte in Ihrem direkten Umfeld und etwas weiter Draußen?”
Es geht auch hier um das Prinzip an und für sich.
Wenn ich nach Hause komme, dann benutze ich einen realen Schlüssel um in meine Wohnung zu gelangen. Selbiges gilt für das Büro, das Auto, den Keller, den Dachboden. Wie viele Schlüssel nutzen wir um uns herum? Haben wir an unserem Schlüsselbund ein “Gerät” das z.B. sagt: “Nimm für die Eingangstür zu deinem Haus den langen runden Schlüssel mit der blauen Markierung und den drei Bärten!”? Natürlich nicht. Niemand käme auf die Idee uns ein Produkt anzubieten, dass genau diese Funktion ausfüllt. Kein Businessplan der die Produktion u./o. den Vertrieb eines solchen Produktes zum Ziel hätte, bekäme von einem Banker hierfür Kapital.
Wir kommen nicht umhin mit dieser Technik sehr viel bewusster umzugehen, wir werden es uns immer weniger erlauben können ihre offensichtlichen Defizite zu verleugnen.
Lang leben die geheiligten Algorithmen
Sonntag, 21. März 2010, 12:16 Uhr
Es wird wohl noch eine oder zwei Dekaden dauern, bis auch der letzte verstanden hat wie ein Passwort aussieht und wie und wo man dies speichert. Der sicherste Speicher für Passworte liegt zwar nach wie vor zwischen den eigenen Ohren, aber dies kann auch dazu führen, dass zu einfache Passworte gewählt werden und Passwort-Recycling betrieben wird.
Die EC-Karte wurde Anfang der 80er eingeführt. Bis heute schreiben Bankkunden ihre PIN auf einen Zettel, der im Portemonnaie mitgeführt wird. Zu der Zeit begannen sich die Computer in Büros und Kinderzimmern auszubreiten. Da sichere Passwort mehr als vier Ziffern lang sein sollten, ist es nicht verwunderlich das Benutzer die Speicherung dieser gerne einem anderem Speicher überlassen, als dem per Evolution mitgeliefertem.