Passwort-Manager: Datenklau durch Browser-Erweiterungen | heise online

Eigentlich sollen Passwort-Manager den Umgang mit vielen verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten automatisch befüllen können. Ein IT-Forscher hat eine Schwachstelle in den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke abgreifen können.

Clickjacking-Angriffe sind eigentlich altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte Angriff auf die Browser-Erweiterungen, den Marek Toth auf der Defcon 33 vorgestellt hat.

Den grundsätzlichen Angriff beschreibt Toth folgendermaßen. Zunächst muss eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft) auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus() wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem vorgestellten Angriff über das Document Object Model (DOM) das User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht werden kann, indem die Deckkraft reduziert wird – hier passiert nun das DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem unsichtbaren Dialog der Browser-Erweiterung. Die füllt die Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.

Anfällige Passwortmanager

Toth hat folgende Passwort-Manager untersucht: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests setzte Toth das manuelle Ausfüllen von Formularen durch die Passwort-Manager-Erweiterungen.

Bei den meisten Passwort-Managern können Angreifer nicht-Domain-spezifische Informationen wie Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer, Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.

Um an Zugangsdaten und sogar Zwei-Faktor-Daten zu kommen, müssen Angreifer eine Webseite mit Cross-Site-Scriping-Schwachstellen finden, Subdmains übernehmen, Web-Cache-Poisoning oder ähnliches erreichen und die Passwort-Manager so konfigurieren, dass sie die Subdomains nicht berücksichtigen – in der Regel die Standardeinstellung bei den Passwort-Managern, erörtert Toth. Als Beispiel führt er an, dass etwa eine Cross-Site-Scripting-Lücke in „test.dev.sandbox.cloud.google.com“ genügt, um an die Zugangsdaten zu „accounts.google.com“ zu gelangen. Toth erklärt zudem einen weiteren Angriff, mit dem sich in einigen Fällen sogar Passkeys mit der Clickjacking-Attacke missbrauchen und von Angreifern neue Sessions öffnen lassen.

Bis Dienstag dieser Woche haben Dashlane, Keeper, Nordpass, ProtonPass und RoboForm die Schwachstellen gefixt. LastPass hat die Preisgabe nicht-Domain-spezifischer Informationen bereits eingehegt. Inzwischen steht auch von Bitwarden die Version 2025.8.0 bereit. Der Klick auf „Hilfe“ – „Nach Aktualisierungen suchen…“ bietet das Herunterladen und Installieren der Aktualisierung an.

Toth nennt einige Empfehlungen, mit denen sich Nutzer schützen können sollen. Dazu gehört das Aktivieren der automatischen Aktualisierung sowie das Sicherstellen, die jüngste Version des Passwort-Managers einzusetzen. Noch bietet jedoch nicht jeder Hersteller Updates an. Das Deaktivieren des automatischen Ausfüllens hilft dem Problem ab, dann müssen Nutzer jedoch Nutzernamen und Passwörter manuell kopieren. Ebenfalls hilfreich ist die Einstellung „Exakte Übereinstimmung der URL“. In Chromium-basierten Browsern sei zudem möglich, konkret in den Einstellungen der Browser-Erweiterungen in Chromium anstatt „Auf allen Webseiten“ erst „Bei Klick“ Zugriff zu gewähren. Erst nach Klick auf das Erweiterungs-Icon rechts neben der Adressleiste lässt sich dann eine Erweiterung nutzen.

IT-Forscher finden gelegentlich einige Schwachstellen in Passwort-Managern. Etwa im vergangenen Oktober hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Codeanalyse bei Vaultarden und KeepPass vorgenommen und stieß auf einige Sicherheitslecks.

(dmk)