Open Source im professionellen Einsatz

Entführte Klicks bedrohen Firefox

30.01.2009

Präparierte Links können die Browser Firefox und Chrome täuschen und Benutzer auf fremde Webseiten entführen.

172

Offenbar sind Firefox und Googles Browser Chrome nicht gegen eine bestimmte Form von Clickjacking immun, wie Aditya K Sood von Secniche Security auf einer Webseite feststellt. Klickt der Anwender auf einen bestimmten Link, der ihn zum Beispiel zu Yahoo.com führen soll, landet er dank einer eingebetteten JavaScript-Funktion auf einer ganz anderen Seite.

Der User selbst erkennt den Betrug oft erst, wenn es bereits zu spät ist. Bewegt er die Maus über den Link, erscheint in der Fußleiste das vorgetäuschte Ziel, also Yahoo.com. Die falsche Webseite kann, je nach Intention des Klick-Piraten, bösartigen Code ausführen, Spam anbieten oder dem User vortäuschen, es handele sich um die echte Yahoo.com-Webseite und so Passwörter ausspähen.

Wer ausprobieren möchte, ob der Trick auch beim eigenen Browser klappt, kann das hier tun. Der Quelltext der Webseite eignet sich zum Studium des Angriffs, auch ein Paper über Clickjacking-Techniken steht dort bereit, allerdings in englischer Sprache. Schutz gegen die Lücke bietet momentan das Abschalten von JavaScript.

Ähnliche Artikel

  • Mozilla-Jahresbericht 2011

    Die Mozilla Foundation hat einen Jahresbericht für 2011 veröffentlicht.

  • Splunk: Clickjacking-Attacke
  • Bitparade

    Privater PC, Rechner im Büro, Smartphone – wer oft das Surfrevier wechselt, der kennt das Problem: Lesezeichen, Verlauf und andere Einstellungen des Lieblingsbrowsers sehen überall anders aus. Firefox, Chrome und Opera synchronisieren diese Daten und noch mehr übers Internet.

  • RSS Live Links erweitert Chrome um dynamische Lesezeichen

    Wer die dynamischen Lesezeichen für RSS-Feeds von Firefox gewöhnt ist, findet mit RSS Live Links nun eine ähnliche Erweiterung für Googles Chrome-Browser.

  • Surfers Neuer

    Mozilla Firefox ist jedermanns Liebling. Doch Chromium, die Open-Source-Version von Google Chrome, ist schnell, sicher und praktisch - und damit einen Wechsel wert.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.