{"id":272977,"date":"2022-09-19T00:01:00","date_gmt":"2022-09-18T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272977"},"modified":"2024-06-30T15:49:11","modified_gmt":"2024-06-30T13:49:11","slug":"chrome-edge-senden-persnliche-daten-u-a-passwrter-an-google-bzw-microsoft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/19\/chrome-edge-senden-persnliche-daten-u-a-passwrter-an-google-bzw-microsoft\/","title":{"rendered":"Chrome & Edge senden persönliche Daten (u.a. Passwörter) an Google bzw. Microsoft"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Neue, und irgendwie unsch\u00f6ne, aber erwartbare Entdeckung, die ein Sicherheitsforscher die Tage \u00f6ffentlich gemacht hat. Der Google Chrome-Browser, und auch der auf Chromium basierende Microsoft Edge-Browser, \u00fcbermitteln pers\u00f6nliche Daten aus Formularen an Google bzw. Microsoft (beim Edge). Dazu geh\u00f6ren \u00fcbrigens auch Passw\u00f6rter. Verantwortlich daf\u00fcr ist wohl die Erweiterte Rechtschreibpr\u00fcfung<\/em> im Browser bzw. im MS-Editor.<\/p>\n

<\/p>\n

Der Browser als Datenschleuder<\/h2>\n

\"\"Das Research-Team der auf JavaScript spezialisierten Sicherheitsfirma Otto (otto-js.com) hat sich mit den beiden Browsern Google Chrome und Microsoft Edge befasst und dabei die unsch\u00f6ne Entdeckung gemacht, dass beide Browser private Daten des Benutzers an Google und\u00a0 Microsoft weitergeben k\u00f6nnen.<\/p>\n

Es handelt sich um Formulardaten, die der Benutzer beim Besuch von Webseiten im Browser eingeben muss oder eingibt. Das k\u00f6nnen Benutzernamen, E-Mail-Adressen, Sozialversicherungsnummern etc., aber auch Passw\u00f6rter sein. Normalerweise sollen diese Daten nur an die Webseite \u00fcbermittelt werden, die der jeweilige Anwender gerade besucht. Bei der Funktion Erweiterte Rechtschreibpr\u00fcfung<\/em>, die sich im Google Chrome aktivieren l\u00e4sst, werden solche Eingaben aber zur Pr\u00fcfung an Google \u00fcbertragen. Beim Microsoft Edge ist es \u00e4hnlich, wobei die \u00dcbertragung an Microsoft erfolgt. In einem am 16. September 2022 ver\u00f6ffentlichten Blog-Beitrag<\/a> schreiben die Sicherheitsforscher dazu:<\/p>\n

Die erweiterte Rechtschreibpr\u00fcfung von Chrome und der MS-Editor von Edge senden Daten, die Sie in Formularfelder wie Benutzername, E-Mail, Geburtsdatum, Sozialversicherungsnummer, im Grunde alles, was in den Feldern steht, an Websites, bei denen Sie sich mit einem dieser Browser anmelden, wenn die Funktionen aktiviert sind. Wenn Sie au\u00dferdem auf \"Kennwort anzeigen\" klicken, sendet die erweiterte Rechtschreibpr\u00fcfung sogar Ihr Kennwort, wodurch Ihre Daten im Wesentlichen abgefangen werden.<\/p><\/blockquote>\n

Verantwortlich ist also die Erweiterte Rechtschreibpr\u00fcfung<\/em> in Google Chrome bzw. der MS-Editor im Microsoft Edge. Die Erweiterte Rechtschreibpr\u00fcfung<\/em> muss vom Benutzer aber explizit aktiviert werden. Und der Benutzer muss mit seinem Browser bei Google bzw. Microsoft an seinem Benutzerkonto angemeldet werden. Dazu hei\u00dft es:<\/p>\n

Einige der gr\u00f6\u00dften Websites der Welt sind dem Risiko ausgesetzt, dass Google und Microsoft sensible Benutzerdaten wie Benutzernamen, E-Mail und Passw\u00f6rter senden, wenn sich Benutzer anmelden oder Formulare ausf\u00fcllen. Ein noch gr\u00f6\u00dferes Problem f\u00fcr Unternehmen ist die Tatsache, dass dadurch die Zugangsdaten des Unternehmens zu internen Ressourcen wie Datenbanken und Cloud-Infrastrukturen gef\u00e4hrdet sind.<\/p><\/blockquote>\n

Das Team hat in seinem Blog-Beitrag ein Beispiel mit einer Anmeldung an der Alibaba-Webseite dokumentiert. Der nachfolgende Screenshot zeigt die Benutzereingaben im Anmeldeformular.<\/p>\n

\"Alibaba
\nAlibaba-Anmeldeseite, Quelle: otto-js.com<\/p>\n

Dann haben die Sicherheitsforscher sich die \u00fcbertragenen Daten sowie den JavaScript-Quellcode angesehen und sind auf ihre Entdeckung gesto\u00dfen. Nachfolgender Screenshot zeigt einen Auszug aus den Daten und dem Quellcode:<\/p>\n

\"Spellchecker
\n\u00dcbertragene Daten, Quelle: otto-js.com<\/p>\n

In obigem Beispiel wird die Google API der Rechtschreibpr\u00fcfung angesprochen und das zugeh\u00f6rige Browser-Script \u00fcbertr\u00e4gt den Inhalt des Formularfelds (hier sharedpassword<\/em>) im Klartext an die Rechtschreibpr\u00fcfung, um dann einen Korrekturvorschlag zur\u00fcck zu bekommen. In nachfolgendem YouTube-Video<\/a> demonstrieren die Sicherheitsforscher das Ganze.<\/p>\n

\"YouTube<\/a>
\nQuelle: YouTube<\/p>\n

Die Sicherheitsforscher haben in ihrem Beitrag mehrere Webseiten aufgelistet, bei deren Besuch solche vertraulichen Informationen durch die Erweiterte Rechtschreibpr\u00fcfung<\/em> \u00fcbermittelt wurden. Die Kollegen von Bleeping Computer haben weitere Webseiten \u00fcberpr\u00fcft<\/a> und dort das gleiche Verhalten gefunden.<\/p>\n

Nat\u00fcrlich ist das alles eine maschinelle Auswertung und bei Google oder Microsoft sitzt kein Mitarbeiter, der am Server auf eintreffende Passw\u00f6rter oder vertrauliche Daten warten. Aber alleine der Umstand, dass dort Formularfelder mit sensitiven Daten an Google bzw. Microsoft \u00fcbertragen werden, ist ein no-go.<\/p>\n

Firmen d\u00fcrften nicht allzu gl\u00fccklich dar\u00fcber sein, dass diese Daten an Dritte gehen, denn niemand hat mehr Kontrolle, wo diese Daten landen und was damit passiert. Im d\u00fcmmsten Fall wird die Cloud- und Netzwerksicherheit gef\u00e4hrdet – in Europa kommt noch hinzu, dass es ggf. zu Verst\u00f6\u00dfen gegen die DSGVO kommt, wenn pers\u00f6nliche Daten in Formularen an Drittstellen \u00fcbermittelt werden. Ich denke nicht, dass dies im DSGVO-Konzept zur Datenverarbeitung ber\u00fccksichtigt wurde (mag mich aber t\u00e4uschen).<\/p>\n

Gegenma\u00dfnahmen m\u00f6glich<\/h2>\n

Unternehmen k\u00f6nnen, laut Otto, das Risiko der Weitergabe personenbezogener Daten ihrer Kunden mindern, indem sie allen Eingabefeldern der betreffenden Webseiten die Option \"spellcheck=false\"<\/em> hinzuf\u00fcgen. Das kann allerdings zu Problemen f\u00fcr die Nutzer f\u00fchren. In solchen F\u00e4llen k\u00f6nnten Unternehmen diese Option, so der Sicherheitsanbieter, auch nur f\u00fcr die Formularfelder mit sensiblen Daten einrichten. Beachtet aber die Diskussion in den folgenden Kommentaren, dass das Attribut f\u00fcr Passwort-Felder nicht vorgesehen sein soll.<\/p>\n

Sowohl Amazon (AWS) als auch LastPass haben auf die Mitteilung der Sicherheitsforscher reagiert und die betreffenden Anpassungen vorgenommen. Unternehmen k\u00f6nnen zudem auch die Funktion \"Passwort anzeigen\" entfernen. Das verhindert zwar kein Spell-Jacking, aber es verhindert, dass Benutzerpassw\u00f6rter gesendet werden. Unternehmen k\u00f6nnen auch client-seitige Sicherheitssoftware (z.B. von otto-js) zur \u00dcberwachung und Kontrolle von Skripten Dritter einsetzen.<\/p>\n

Administratoren in Unternehmen sollten die\u00a0 interne Gef\u00e4hrdung firmeneigener Konten verringern, indem sie Sicherheitsl\u00f6sungen f\u00fcr Endger\u00e4te implementieren, die die erweiterte Rechtschreibpr\u00fcfung deaktivieren und Mitarbeiter daran hindern, nicht zugelassene Browsererweiterungen zu installieren.<\/p>\n

Nutzer des Browser Chrome die M\u00f6glichkeit, die Funktion Erweiterte Rechtschreibpr\u00fcfung <\/em>in den Chrome-Einstellungen unter Synchronisierung und Google-Dienste <\/em>abschalten (ggf. einfach in den Einstellungen nach Rechtschreibpr\u00fcfung suchen lassen – oder chrome:\/\/settings\/?search=Enhanced+Spell+Check <\/em>verwenden, siehe hier<\/a> und hier<\/a>).<\/p>\n

Bei Edge ist die Rechtschreib- und Grammatikpr\u00fcfung des Microsoft Editors ein Browser-Addon, das explizit installiert werden muss, um dieses Verhalten zu erm\u00f6glichen. Falls vorhanden, sollte dieses Browser-Addon deinstalliert werden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChrome speichert Passw\u00f6rter im Speicher im Klartext<\/a>
\nGoogle Chrome erlaubt Webseiten das Schreiben (ohne Nachfrage) in die Windows-Zwischenablage<\/a>
\nGoogle Chrome: Blockliste f\u00fcr Erweiterungen (ADMX) in Build 86 ge\u00e4ndert<\/a>
\nNiederlande: Datenschutzbedenken gegen Chrome\/ChromeOS in Schulen<\/a>
\nGoogle Chrome: Drittanbieter Cookie-Blockade kommt erst im 3. Quartal 2024<\/a>
\nEdge Stable 103.0.1264.37 macht Gruppenrichtlinien kaputt (Chrome-Bug)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Neue, und irgendwie unsch\u00f6ne, aber erwartbare Entdeckung, die ein Sicherheitsforscher die Tage \u00f6ffentlich gemacht hat. Der Google Chrome-Browser, und auch der auf Chromium basierende Microsoft Edge-Browser, \u00fcbermitteln pers\u00f6nliche Daten aus Formularen an Google bzw. Microsoft (beim Edge). Dazu geh\u00f6ren \u00fcbrigens … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,1356],"tags":[406,4201,4328],"class_list":["post-272977","post","type-post","status-publish","format-standard","hentry","category-edge","category-google-chrome-internet","tag-chrome","tag-edge","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272977","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272977"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272977\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272977"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272977"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272977"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}