IT-Experten haben eine Lücke in Browser-Erweiterungen von
Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt.
Eigentlich sollen Passwort-Manager den Umgang mit vielen
verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist
Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten
automatisch befüllen können. IT-Experten haben eine Schwachstelle in
den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch
die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke
abgreifen können.
Clickjacking-Angriffe sind eigentlich
altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor
Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren
Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte
Angriff auf die Browser-Erweiterungen, den die IT-Experten auf der Defcon 33 vorgestellt haben.
Den
grundsätzlichen Angriff beschreiben die IT-Experten folgendermaßen. Zunächst muss
eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die
Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die
Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie
ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft)
auf 0.001, es wird dadurch unsichtbar. Mit der Funktion
focus()
wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum
Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem
vorgestellten Angriff über das Document Object Model (DOM) das
User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht
werden kann, indem die Deckkraft reduziert wird – hier passiert nun das
DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken
vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem
unsichtbaren Dialog der Browser-Erweiterung. Die füllt die
Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.Anfällige Passwortmanager
Die IT-Experten haben folgende Passwort-Manager untersucht: 1Password, Bitwarden,
Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper,
LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests
setzten diese das manuelle Ausfüllen von Formularen durch die
Passwort-Manager-Erweiterungen.
Bei den meisten Passwort-Managern
können Angreifer nicht-Domain-spezifische Informationen wie
Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer,
Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.
Um
an Zugangsdaten und sogar Zwei-Faktor-Daten zu kommen, müssen Angreifer
eine Webseite mit Cross-Site-Scriping-Schwachstellen finden, Subdmains
übernehmen, Web-Cache-Poisoning oder ähnliches erreichen und die
Passwort-Manager so konfigurieren, dass sie die Subdomains nicht
berücksichtigen – in der Regel die Standardeinstellung bei den
Passwort-Managern, erörtern die IT-Experten. Als Beispiel führt man an, dass etwa
eine Cross-Site-Scripting-Lücke in "test.dev.sandbox.cloud.google.com"
genügt, um an die Zugangsdaten zu "accounts.google.com" zu gelangen. Sie erklären zudem einen weiteren Angriff, mit dem sich in einigen
Fällen sogar Passkeys mit der Clickjacking-Attacke missbrauchen und von
Angreifern neue Sessions öffnen lassen.
Bis Dienstag dieser Woche
haben Dashlane, Keeper, Nordpass, ProtonPass und RoboForm die
Schwachstellen gefixt. LastPass hat die Preisgabe
nicht-Domain-spezifischer Informationen bereits eingehegt. Inzwischen
steht auch von Bitwarden die Version 2025.8.0 bereit. Der Klick auf
"Hilfe" – "Nach Aktualisierungen suchen..." bietet das Herunterladen und
Installieren der Aktualisierung an. In den Browser-Stores kommt die
aktualisierte Erweiterung etwas später, da sie dort noch einen
Review-Prozess durchlaufen muss. Inzwischen hat zudem auch Enpass
aktualisierte Browser-Erweiterungen herausgegeben.
Sie nennen einige Empfehlungen, mit denen sich Nutzer schützen können sollen. Dazu
gehört das Aktivieren der automatischen Aktualisierung sowie das
Sicherstellen, die jüngste Version des Passwort-Managers einzusetzen.
Noch bietet jedoch nicht jeder Hersteller Updates an. Das Deaktivieren
des automatischen Ausfüllens hilft dem Problem ab, dann müssen Nutzer
jedoch Nutzernamen und Passwörter manuell kopieren. Ebenfalls hilfreich
ist die Einstellung "Exakte Übereinstimmung der URL". In
Chromium-basierten Browsern sei zudem möglich, konkret in den
Einstellungen der Browser-Erweiterungen in Chromium anstatt "Auf allen
Webseiten" erst "Bei Klick" Zugriff zu gewähren. Erst nach Klick auf das
Erweiterungs-Icon rechts neben der Adressleiste lässt sich dann eine
Erweiterung nutzen.
IT-Experten finden gelegentlich einige Schwachstellen in Passwort-Managern. Etwa im vergangenen Oktober hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Codeanalyse bei Vaultarden und KeepPass vorgenommen und stieß auf einige Sicherheitslecks.