Chrome speichert Passwörter im Klartext, für Google kein Problem

Nadine Dressler, 12.06.2022 13:22 Uhr 12 Kommentare
Ein Sicherheitsforscher von CyberArk Labs macht auf ein Si­cher­heits­pro­blem aufmerksam, das in Google Chromium steckt und da­mit die Web­brow­ser Chrome und Edge betrifft: Ge­spei­cher­te Pass­wör­ter las­sen sich einfach auslesen. Chrome legt demnach Nutzer-Passwörter einfach im Klartext in seinem Speicher ab. Die unverschlüsselten Passwörter können somit einfach ausgelesen werden, wenn man weiß, wo man sie findet - und das ist viel zu einfach.

Das ist aber noch gar nicht der eigentliche Skandal. Laut den Erkenntnissen von Zeev Ben Porat von CyberArk Labs wurde dieses Prozedere, unverschlüsselte sensible Daten zu speichern, schon im Jahr 2015 von dem Sicherheitsforscher Satyam Singh entdeckt und dokumentiert. Der hatte damals schon festgestellt, dass Passwörter einfacher im Klartext im Arbeitsspeicher laufender Prozesse abgelegt wurden. Diese Schwachstellen dürften also seit geraumer Zeit bestens bekannt sein.

Chrome und Edge 100: So macht man den Browser bei Problemen fit
videoplayer
Bisher ist aber wenig bis gar nichts gegen diese Sicherheitslücke getan wurden. Wie es aussieht, wird Google daran auch nichts ändern. Die Entwickler stuften das Problem als irrelevant ein, das nicht behoben werden muss.

Der Sicherheitsforscher Zeev Ben Porat fand dabei mehrfach bedenklichen Umgang mit sensiblen Daten:

Analyse

  • Anmeldedaten (URL/Benutzername/Kennwort) werden im Speicher von Chrome im Klartextformat gespeichert. Zusätzlich zu den Daten, die dynamisch eingegeben werden, wenn man sich bei bestimmten Webanwendungen anmeldet, kann ein Angreifer den Browser dazu bringen, alle Passwörter in den Speicher zu laden, die im Passwort-Manager gespeichert sind ("Login Data"-Datei).
  • Die Daten von Cookies (Wert und Eigenschaften von Cookies) werden im Speicher von Chrome im Klartext gespeichert (wenn die betreffende Anwendung aktiv ist). Dazu gehören auch sensible Sitzungscookies.
  • Diese Informationen können von einem Standardprozess (ohne erhöhten Status), der auf dem lokalen Computer läuft und direkten Zugriff auf den Speicher von Chrome hat (unter Verwendung der APIs OpenProcess und ReadProcessMemory), effektiv extrahiert werden.

Deskmodder hat einmal untersucht, wie andere beliebte Browser mit den Passwörtern umgehen. Dabei kam heraus, dass neben Edge und Chrome auch Vivaldi und Firefox Passwörter im Klartext abspeichern.

Siehe auch:

Download Google Chrome Download - Schneller und sicherer Browser
12 Kommentare lesen & antworten
Folge WinFuture auf Google News
Verwandte Themen
Chrome
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies