HTTPS ist hoffentlich jedem bekannt: Die Verbindung zwischen Server und Endgerät wird verschlüsselt, Lauscher haben schlechte Karten. Zwar gibt es Wege, die Verschlüsselung auszuhebeln, diese setzen allerdings meist eine aufwändige Man-in-the-Middle-Umgebung voraus. Einfacher geht es, um es sarkastisch auszudrücken, zumindest laut dem Sicherheitsforscher Krzysztof Kotowicz, wenn das Opfer die Amazon-1-Click-Erweiterung (erhältlich für Firefox und Chrome) in seinem Browser installiert hat. Die Erweiterung ist per se nützlich, vereinfacht sie doch das Einkaufen auf der Amazon-Seite.
Im Hintergrund sichert sich die Extension bei der Installation aber nicht nur zahlreiche Berechtigungen (etwa Zugriff auf alle Daten oder Informationen in der Zwischenablage), sondern geht auch recht großzügig mit der Privatsphäre des Nutzers um. Laut Kotowicz schickt die Erweiterung jede besuchte Webseite, selbst wenn diese per HTTPS aufgerufen wird, zu Amazon (allerdings sind die Daten glücklicherweise verschlüsselt). Das Surfverhalten wird also gänzlich transparent.
Anders sieht es dagegen bei der SIA-Analysefunktion aus, die ebenfalls Teil der Erweiterung ist. Wie der Sicherheitsforscher herausfand, erweitert diese Funktion alle besuchten Webseiten um ein eigenes Skript. Problematisch dabei ist allerdings, dass laut dem Forscher auch die Adressen per HTTPS-verschlüsselter Webseiten im Klartext an den Analysedienst Alexa liefert.
Ein richtiges Sicherheitsproblem wird es, wenn ein Angreifer die Erweiterung für eigenen Zwecke nutzt. Laut Kotowicz ist es relativ einfach, diese Funktion zu übernehmen. Laut dem Forscher werden alle relevanten Daten im Klartext übertragen, entsprechend einfach ist es für einen Angreifer, diesen Informationen zu lauschen. Laut dem Forscher lassen sich keine Daten ändern, dafür erhält ein Angreifer aber sensitive Daten wie Tokens, Session IDs, E-Mail-Inhalte oder Inhalte von Google-Drive-Dokumenten.
Zwar setzt diese Attacke voraus, dass die Erweiterung in Google Chrome installiert ist, laut der offiziellen App-Seite im Chrome Web Store sind dies aktuell aber immerhin 1 790 789 Nutzer. Die Empfehlung des Forschers ist es, die Erweiterung zu deinstallieren, bis Amazon entweder alle Verbindungen per HTTPS leitet oder die Analysefunktionen komplett entfernt. Laut einem Bericht von heise security hat Amazon inzwischen offenbar reagiert und zumindest die Übertragung der von der Erweiterung benötigten Konfigurationsdateien abgesichert. Würde ein Angreifer diese Dateien modifizieren, könnte er die Extension anweisen, sämtliche HTTPS-Verkehr auszulesen.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.