Der Browser ermöglicht dem Nutzer den Zugang zum Internet. Die Rolle sowie die Wahl des Browsers ist nicht zu unterschätzen, kann über diesen doch eine Vielzahl von persönlichen Daten des Nutzers gesammelt und ausgewertet werden. Dies, und die Sicherheit des Browsers, soll dieser Beitrag einmal mehr verdeutlichen.
Der Inhalt im Überblick
Phishing-Gefahr durch Autofill-Funktion
Im Fokus steht derzeit die Autofill-Funktion vieler Browser (und auch entsprechender Browser-Erweiterungen). Der Sinn dieser Funktion ist die vereinfachte, weitestgehend selbstständige Vervollständigung von Web-Formularen, bspw. der Anschrift, E-Mail-Adresse oder Kreditkartendaten des jeweiligen Nutzers. Der finnische Entwickler Viljami Kuosmane hat nun aufgezeigt und mit einem Exploit bewiesen, wie Kriminelle mittels dieser Funktion sensible Nutzerdaten abfangen können, ohne das der Nutzer dieses mitbekommt. Hierauf wies Kuosmane via Twitter hin und hat eine Demoseite eingerichtet, auf welcher die Angriffsmethode nachvollzogen werden könne.
Besonders anfällig für diesen Angriff sind danach Chrome und Safari. Der Nutzer müsse bei dieser Methode lediglich auf einer präparierten Seite dazu bewegt werden, einige Felder mit relativ unkritischen Informationen auszufüllen. Sodann würden die Browser mittels der Autofill-Funktion versuchen, in alle auffindbaren Felder so viele Informationen in so viele Felder wie möglich einzutragen, und auch in solche Textboxen, die für den Nutzer nicht sichtbar sind. Der Nutzer meint dann lediglich seine Anschrift eingegeben zu haben, hat aber tatsächlich auch weitere Daten wie Telefonnummer und Kreditkartendaten übermittelt. Firefox-Nutzer seien hingegen immun, da der Anwender dort jedes Formularfeld ausdrücklich anklicken müsse.
Der einzige Schutz bestehe derzeit in der Deaktivierung der Autofill-Funktion.
Sicherheitsrisiko Browser?
Browser und ihre Erweiterungen sind immer wieder populäres Angriffsziel. So wurde erst kürzlich bekannt, dass die populäre Browsererweiterung „Web of Trust“ die gesammelten Informationen der Nutzer interessierten Unternehmen zum Kauf angeboten hat und es mit geringem Aufwand möglich war, Informationen auf Einzelpersonen rückzubeziehen und durchaus pikante Details zu ermitteln.
Und auch von bekannten Softwareherstellern werden Browser immer wieder für ihre Zwecke vereinnahmt. So hat Adobe mit seinem jüngsten Update für Flash, Acrobat und den Acrobat Reader bei Chrome-Nutzer eine Erweiterung automatisch mitinstalliert. Neben dem fehlenden Einverständnis wird dabei vor allem kritisiert, dass das Plugin Nutzerdaten sammeln würde und mit einigen systemeigenen Anwendungen kommuniziere.
Komfort vs. Sicherheit
In der virtuellen Welt verhält es sich letztlich nicht anders als in der realen. Auch hier gilt es, individuell eine angemessene Balance zwischen Sicherheit und Komfort zu finden. Es empfiehlt sich daher, von Zeit zu Zeit die Browsereinstellungen zu prüfen und ggf. an die aktuellen Bedürfnisse anzupassen. Ein erster Schritt könnte beispielsweise die Aktivierung der „Do not track„-Funktion sein. Das BSI hat unter der Rubrik „Machen Sie Ihren Browser sicher“ eine Übersicht erstellt, wo weitere Informationen zu den Sicherheitseinstellungen der gängigen Browser zu finden sind. Auch kann es mitunter ratsam sein, den Browser zu wechseln; zum Beispiel, wenn bestehende und bekannte Sicherheitslücken nicht zeitnah geschlossen werden oder in bedenklicher Weise Nutzerdaten ausgewertet werden.
Mehr Macht für Browser
Die Bedeutung des Browsers wird in Zukunft weiter zunehmen. So sieht der vor wenigen Tagen von der Europäischen Kommission veröffentliche Entwurf zur ePrivacy-Verordnung vor, dass Nutzer die Cookie-Einstellungen und das Schutzniveau zentral in den Einstellungen des Browsers durchführen können sollen. Cookies ermöglichen dem Nutzer auf der einen Seite eine komfortablere Internetnutzung, ermöglichen aber andererseits auch, ein komplexes Nutzungs- und Surfverhalten zu ermitteln. Sie können Informationen zum Nutzungsverhalten speichern und an den Verwender übermitteln. Dadurch ermöglicht der Einsatz von Cookies eine Profilbildung, was datenschutzrechtlich kritisch zu betrachten ist. Der Entwurf sieht ferner vor, dass sich die Seitenbetreiber an die Browsereinstellung bzgl. der „Do not track“-Funktion halten müssen. Auch bedarf es nun einer Einwilligung über den Browser, wenn sensible Daten erfasst werden sollen, welche beispielsweise von den Gerätesensoren bereitgestellt werden.