Nutzer von Google Chrome sollten auf der Hut sein: Durch eine Lücke im Web-Browser können gar Amateur-Hacker ganz einfach gespeicherte Passwörter stehlen.
Dies hat der Sicherheitsblogger Bosko Stankovic in seinem Blog DefenseCode enthüllt. Dort erklärt er zudem, wie es zu diesem Bug kommt und wie man ihn mit wenig Aufwand umgehen kann.
Uralt-Dateityp ist schuld
Schuld am Problem ist der Umgang von Google Chrome mit dem Dateityp SCF (Shell Command File). Bei der Datei handelt es sich um eine kleine Textdatei, in der sich Befehle befinden, die Windows ausführen sollen. Der Dateityp reicht bis zu Windows 98 zurück.
Google Chrome ist normalerweise so eingestellt, dass er Dateien und Passwörter, die er als sicher einstuft, automatisch herunterlädt und in einem Verzeichnis abspeichert. Auch Dateien mit der Endung SCF gelten bei der aktuellen Version von Google Chrome als sicher. Weil diese automatisch heruntergeladen werden, können sie als Einfallstor für Angriffe dienen.
Hacker können in diesen Dateien zum Beispiel Befehle verstecken – und so Passwörter auslesen oder auch den Verlauf kopieren.
So können Sie sich schützen
Google arbeitet aktuell an einem Update, um die Sicherheitslücke zu schliessen. In der Zwischenzeit sollten User aber das automatische Speichern von Dateien und Passwörtern im Google Chrome deaktivieren.
Um die Funktion auszuschalten, muss man in den erweiterten Einstellungen «Vor dem Download von Dateien nach dem Speicherort fragen» einen Haken setzten. So ist man vor den Cyber-Dieben vorerst sicher! (maz)