Google Chrome: Passwörter werden im Klartext im Speicher abgelegt – Google sieht darin kein Problem
Seit vielen Jahren gilt Google Chrome als einer der sichersten Browser überhaupt und hat die Messlatte im Laufe der Zeit immer höher gelegt. Das gilt sowohl für Angriffe von Innen als auch von Außen, doch wie jetzt bekannt geworden ist, lässt Google eine theoretische Lücke ungefixt und hat demnach nicht vor, diese zu schließen: Chrome speichert Passwörter im Zwischenspeicher im Klartext, sodass sie ausgelesen werden können.
Google Chrome kann, so wie jeder große Browser, einen Passwortmanager ersetzen und alle Zugangsdaten der Nutzer innerhalb der eigenen Anwendung ablegen und bequem wieder anbieten. Zusätzlich werden die Passwörter mit Googles Servern synchronisiert, sodass sie auf allen Plattformen abrufbar sind. Natürlich erfolgt die Ablage auf Googles Servern verschlüsselt, doch auf dem lokalen Computer des Nutzers sieht das ganz anders aus.
Ein Sicherheitsforscher hat schon vor langer Zeit herausgefunden, dass Chrome die Zugangsdaten der Nutzer im Klartext ablegt und dies wohl mehrfach an das Chrome-Team gemeldet. Dort gab es auch recht schnell eine Antwort, die aber wenig befriedigend ausfiel: Man sieht das nicht als Problem und wird diese potentielle Lücke damit auch nicht schließen. Der Sicherheitsforscher hat das Ganze daher nun öffentlich gemacht und zeigt, wie die Zugangsdaten ausgelesen werden können.
In der recht technischen Erklärung sowie den Beispielen geht es darum, dass die Zugangsdaten ausgelesen werden können, die der Nutzer unmittelbar zuvor eingegeben hat. Also die Daten, die Chrome noch im Zwischenspeicher zu liegen hat und an irgendeiner Stelle im Klartext auftauchen müssen – und sei es nur der UI-interne Cache für die Eingabe des Passworts. Dennoch sind die Zugangsdaten anschließend für lange Zeit abrufbar.
Google sieht das nicht als Problem, weil es ein lokaler Angriff ist und man keine Möglichkeit sieht, einen solchen abzuwenden. Hat sich ein fremder Nutzer oder eine App Zugang zum Computer verschafft, dann ist alles auslesbar, ohne dass eine App etwas dagegen tun könnte. Das ist korrekt und der Sicherheitsforscher geht mit dieser Argumentation mit. Aber dennoch sollte man es Angreifern vielleicht nicht so leicht machen und die Zugangsdaten dennoch verschlüsselt ablegen.
There is no way for Chrome (or any application) to defend against a malicious user who has managed to log into your device as you.
Zu den technischen Hintergründen kann ich nicht viel sagen und habe auch ehrlich gesagt keinen Einblick. Was ich aber sagen kann, dass Chrome alle im Browser gespeicherten Passwörter im Klartext abrufbar macht. Wir haben euch erst vor wenigen Monaten die App Chromepass vorgestellt, mit der sich alle Chrome-Passwörter auslesen lassen. Auch der Import der Passwörter durch andere Browser oder Passwortmanager würde nicht funktionieren, wenn die Passwörter nicht in irgendeiner Form im Klartext abrufbar wären.
Ob man diese Entdeckung daher nun als problematisch oder wenig überraschend einstufen muss, wage ich nicht zu bewerten. Wie der Sicherheitsforscher weiter ausführt, gilt diese Ablage im Klartext übrigens auch für Edge, Vivaldi und Firefox. Letzter setzt nicht auf die Chromium-Engine.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
Wenn man eine Software auf dem Rechner hat, das die Passwörter ausliest hat man ein viel größere Problem.