\n English<\/a>.<\/p>\n
It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n
Eigentlich sollen Passwort-Manager den Umgang mit vielen verschiedenen Passw\u00f6rtern vereinfachen. Dazu bringen sie meist Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten automatisch bef\u00fcllen k\u00f6nnen. Ein IT-Forscher hat eine Schwachstelle in den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch die b\u00f6sartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke abgreifen k\u00f6nnen.<\/p>\n
Clickjacking-Angriffe sind eigentlich altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren Element und nicht in dem gew\u00fcnschten Feld. Neu ist der DOM-basierte Angriff auf die Browser-Erweiterungen, den Marek Toth auf der Defcon 33<\/a> vorgestellt hat.<\/p>\n Den grunds\u00e4tzlichen Angriff beschreibt Toth folgenderma\u00dfen. Zun\u00e4chst muss eine b\u00f6sartige Webseite ein Element aufweisen, das den Zugriff auf die Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder \u00e4hnliches. Die Webseite selbst ben\u00f6tigt ein Formular, etwa f\u00fcr pers\u00f6nliche Daten, wie ein Log-in. F\u00fcr das Formular setzen Angreifer die Opacity (Deckkraft) auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus() wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Men\u00fc zum Ausf\u00fcllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem vorgestellten Angriff \u00fcber das Document Object Model (DOM) das User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht werden kann, indem die Deckkraft reduziert wird \u2013 hier passiert nun das DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem unsichtbaren Dialog der Browser-Erweiterung. Die f\u00fcllt die Formularfelder aus, die Angreifer gelangen an die Eintr\u00e4ge im Formular.<\/p>\n Anf\u00e4llige Passwortmanager<\/p>\n Toth hat folgende Passwort-Manager untersucht: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests setzte Toth das manuelle Ausf\u00fcllen von Formularen durch die Passwort-Manager-Erweiterungen.<\/p>\n Bei den meisten Passwort-Managern k\u00f6nnen Angreifer nicht-Domain-spezifische Informationen wie Kreditkartendaten oder pers\u00f6nliche Daten wie Name, Telefonnummer, Anschrift und so weiter mit b\u00f6sartig aufgesetzten Webseiten auslesen.<\/p>\n <\/p>\n <\/a><\/p>\n F\u00fcr das Ausliefern nicht-Domain-spezifischer Daten sind die Passwort-Manager meist anf\u00e4llig.<\/p>\n \n (Bild:\u00a0Marek Toth)\n <\/p>\n Um an Zugangsdaten und sogar Zwei-Faktor-Daten zu kommen, m\u00fcssen Angreifer eine Webseite mit Cross-Site-Scriping-Schwachstellen finden, Subdmains \u00fcbernehmen, Web-Cache-Poisoning oder \u00e4hnliches erreichen und die Passwort-Manager so konfigurieren, dass sie die Subdomains nicht ber\u00fccksichtigen \u2013 in der Regel die Standardeinstellung bei den Passwort-Managern, er\u00f6rtert Toth. Als Beispiel f\u00fchrt er an, dass etwa eine Cross-Site-Scripting-L\u00fccke in „test.dev.sandbox.cloud.google.com“ gen\u00fcgt, um an die Zugangsdaten zu „accounts.google.com“ zu gelangen. Toth erkl\u00e4rt zudem einen weiteren Angriff, mit dem sich in einigen F\u00e4llen sogar Passkeys mit der Clickjacking-Attacke missbrauchen und von Angreifern neue Sessions \u00f6ffnen lassen.<\/p>\n Bis Dienstag dieser Woche haben Dashlane, Keeper, Nordpass, ProtonPass und RoboForm die Schwachstellen gefixt. LastPass hat die Preisgabe nicht-Domain-spezifischer Informationen bereits eingehegt. Inzwischen steht auch von Bitwarden die Version 2025.8.0 bereit. Der Klick auf „Hilfe“ \u2013 „Nach Aktualisierungen suchen…“ bietet das Herunterladen und Installieren der Aktualisierung an. In den Browser-Stores kommt die aktualisierte Erweiterung etwas sp\u00e4ter, da sie dort noch einen Review-Prozess durchlaufen muss.<\/p>\n Toth nennt einige Empfehlungen, mit denen sich Nutzer sch\u00fctzen k\u00f6nnen sollen. Dazu geh\u00f6rt das Aktivieren der automatischen Aktualisierung sowie das Sicherstellen, die j\u00fcngste Version des Passwort-Managers einzusetzen. Noch bietet jedoch nicht jeder Hersteller Updates an. Das Deaktivieren des automatischen Ausf\u00fcllens hilft dem Problem ab, dann m\u00fcssen Nutzer jedoch Nutzernamen und Passw\u00f6rter manuell kopieren. Ebenfalls hilfreich ist die Einstellung „Exakte \u00dcbereinstimmung der URL“. In Chromium-basierten Browsern sei zudem m\u00f6glich, konkret in den Einstellungen der Browser-Erweiterungen in Chromium anstatt „Auf allen Webseiten“ erst „Bei Klick“ Zugriff zu gew\u00e4hren. Erst nach Klick auf das Erweiterungs-Icon rechts neben der Adressleiste l\u00e4sst sich dann eine Erweiterung nutzen.<\/p>\n IT-Forscher finden gelegentlich einige Schwachstellen in Passwort-Managern. Etwa im vergangenen Oktober hatte das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) eine Codeanalyse bei Vaultarden und KeepPass<\/a> vorgenommen und stie\u00df auf einige Sicherheitslecks.<\/p>\n<\/p>\n