Wer kurz mal den Computer alleine lässt, um sich einen Kaffee zu holen oder aufs Klo zu gehen, kann echte Probleme bekommen: Ein Bug im Browser Google Chrome macht es Angreifern geradezu verführerisch leicht, sämtliche im Browser gespeicherten Passwörter des angemeldeten Nutzers zu klauen. Gerade bei Rechnern, die mehrere Personen benutzen, wie in einer Schule, am Arbeitsplatz oder in Bibliotheken, kann das zu einem Risiko werden.
Um die Lücke auszunutzen, muss ein Angreifer überhaupt keine besonderen IT-Fähigkeiten haben oder auch nur eine Zeile Code schreiben können: Alles, was man beherrschen muss, ist ein kurzer Aus- und Einlog-Move in Chrome. Das beschreibt der Sicherheitsforscher Lion Margalit in einem Post auf Medium, der die Lücke bereits im Dezember an Google gemeldet hat – und darauf eine eher desinteressierte Antwort erhalten hat. Der Grund: Der US-Konzern hält Margalits Fund nicht für einen Bug, sondern für ein Feature.
Videos by VICE
So einfach können Unbefugte Passwörter von Mitschülern oder Kollegen klauen
Um Passwörter in seinen eigenen Account zu exportieren, könnte ein Angreifer folgendermaßen vorgehen: Er klickt das kleine Icon mit den drei Punkten in der rechten oberen Ecke an, wählt “Einstellungen” aus und loggt unter “Personen” den aktuellen Nutzer aus.
Anschließend meldet er sich mit seinem eigenen Gmail-Account bei Chrome an. Google meldet daraufhin, dass sich gerade ein anderer Nutzer ausgeloggt hat – und fragt praktischerweise gleich nach, ob man nicht auch gleich dessen Passwörter haben möchte:
“Die E-Mail-Adresse xxx@gmail.com hat zuvor Chrome benutzt”, liest man in dem Pop-up.
Wer jetzt “Das war ich” auswählt, importiert alle Passwörter, die Browser-History und andere Einstellungen in das Gmail-konto des Angreifers.
“Du bist eingeloggt und benutzt Sync”, bestätigt Chrome daraufhin. “Deine Passwörter, besuchten Seiten und andere Einstellungen werden auf deinen Google Account synchronisiert, damit du sie auf allen Geräten benutzen kannst.”
Nur: Es sind im Zweifelsfall eben nicht deine Passwörter.
Hiermit ist der Diebstahl komplett. Loggt man sich jetzt wieder aus und meldet sich mit der neuen Gmail-Adresse von einem beliebigen anderen Gerät an, zeigt Chrome alle geklauten Passwörter unter dem Einstellungs-Menüpunkt “Passwörter verwalten” in einer handlichen Liste im Klartext an.
Als der Sicherheitsforscher Lion Margalit die Lücke an den Chrome-Hersteller Google meldete, erhielt er eine nicht gerade beruhigende Rückmeldung: “Ja, mit unbegrenztem Zugang zu dem Account eines Users kann man daraus Daten klauen… Status: WontFix” – was bedeutet, dass Google nicht vorhat, den Bug zu reparieren.
Dabei gäbe es für Google eine ganz einfache Lösung: Wenn ein Nutzer sich ausloggt, mit einer anderen Adresse einloggt und die Synchronisierungsfunktion benutzen will, müsste er beide Passwörter kennen: Die des zuvor benutzten und die des neuen Gmail-Accounts.
Diese simplen Vorsichtsmaßnahmen kommen zum Beispiel auch bei Apples MacOS zum Einsatz: Wer da ein Passwort vergessen hat und der Schlüsselbundverwaltung nachgucken möchte, muss sein Anmeldepasswort eingeben, bevor das Passwort im Klartext angezeigt wird.
Ob Google diese wichtige Kleinigkeit ändern wird, ist unklar. Bis dahin sollte man den Bildschirm sperren, sobald man den Platz verlässt. Außerdem bietet ein Passwortmanager wie LastPass eine gute Möglichkeit, seine Konten-Zugänge außerhalb eines Browsers zu verwalten und zu schützen.
Zugegeben, die Lücke ist für Angreifer von außerhalb keine Option, und wie Justin Schuh vom Chrome Security Team argumentieren würde: Wenn jemand mit bösen Absichten an deinem Computer sitzt, während du im Browser angemeldet bist, hat er eh schon gewonnen.