Sicherheitslücke in Chromium-basierten Webbrowsern

In aktuellen Chromium-basierten Webbrowsern wie Microsoft Edge oder Google Chrome können Webseiten frei auf die Zwischenablage zugreifen. Diese Sicherheitslücke macht die NutzerInnen angreifbar.

 

Zahlreiche Webbrowser basieren auf der Code-Basis des Open-Source-Projektes Chromium, unter anderem auch Microsoft Edge und Google Chrome. In ihrer aktuellen Version ermöglichen sie es Webseiten ohne Interaktion der NutzerInnen auf deren System-Zwischenablage zuzugreifen. So können Websites eigene Daten in die Zwischenablage der BesucherInnen schieben, welche sie später beispielsweise unachtsam in Formulare kopieren. Das kann zum Risiko werden, wenn es sich bei den eingefügten Daten um eine falsche Wallet-Nummer oder Bitcoin-Adresse handelt. Dann könnte beispielsweise Kryptogeld unwiederbringlich an den falschen Empfänger fließen.

 

Ursache der Sicherheitslücke

Ein Mitarbeiter von Microsoft stieß auf das Problem, dass ein Test beim Öffnen eines neuen Tabs in der Funktion „NewTabPageDoodleShareDialogFocusTest.All“ fehlschlug. Ohne eine notwendige vorherige Nutzeraktion wie das Drücken der Tastenkombination Strg + C für den Zugriff auf die Zwischenablage funktionierte jedoch alles wie gewünscht. Die mandatorische Nutzeranforderung musste folglich dem Erfolg des Tests weichen. Im Fehlen dieser sonst erforderlichen Nutzerinteraktion liegt die Ursache der der Sicherheitslücke in aktuellen Chromium-basierten Browsern.

In seiner Bug-Meldung vom 7. Juni 2022 schrieb der Entwickler: „After enabling the custom format restriction for all async clipboard methods, we found NewTabPageDoodleShareDialogFocusTest.All test that relies on readText to be called without any user gesture. We are disabling the user gesture requirement for read/writeText for now, but we should revisit this.“ Dass Handlungsbedarf besteht, scheint also schon länger bekannt zu sein. Nachdem das Fehlverhalten nun öffentlich bekannt wurde, dürfte ein Fix hoffentlich nicht allzu lange auf sich warten lassen.

 

Handlungsempfehlungen

Bis Chromium-basierte Webbrowser (wieder) entsprechend abgesichert sind, sollten NutzerInnen vor dem Einfügen von kopierten Inhalten in Formulare oder Dokumente genau überprüfen, ob die Daten wirklich korrekt sind. Alternativ kann bis zu einem entsprechenden Fix natürlich auch auf andere, nicht Chromium-basierte Webbrowser zurückgegriffen werden wie beispielsweise Firefox oder Safari.