Firefox-Erweiterung

Phishing, Hacken und Kontoklau wird zum Kinderspiel

(Bild: © 2010 Photos.com, a division of Getty Images)

Schwere Sicherheitlücken auf zahlreichen populären Websites machen es möglich, dass jeder Internetnutzer mit einer einfachen Firefox-Erweiterung zum Hacker werden kann. Fremde Konten auszuspionieren, ja sogar selbst zu übernehmen, wird so problemlos möglich.

Entwickler Eric Butler hat die Erweiterung "FireSheep" für Firefox auf der IT-Konferenz ToorCon vorgestellt - er will damit eigenen Angaben zufolge allerdings nicht die Anleitung zum einfachen Hacken liefern, sondern vor den Sicherheitslücken auf 26 Websites wie Facebook, Twitter, Windows Live (Hotmail), Google oder Amazon warnen.

Ebendiese Sites verwenden ein ähnliches Sicherheitssystem: Der Nutzer loggt sich mit seinen Accountnamen und Passwort über einen verschlüsselten Server ein. Danach ist er allerdings im unverschlüsselten Bereich unterwegs, abgespeichert wird die Sitzung inklusive der Authentifizierung mittels Cookie auf der Festplatte. "FireSheep" nützt ebendiese Vorgehensweise und sucht im Netzwerk nach solchen aktiven Cookies.

Gefahr lauert an WLAN-Hotspots
Gefährlich ist dieses Hackertool daher in WiFi-Zonen mit ungeschütztem WLAN-Zugang, zum Beispiel Cafés und öffentlichen Institutionen. Wer sich hier in ein soziales Netzwerk, seinen E-Mail-Account oder einen Online-Shop einloggt, ist leichte Beute für "FireSheep"-Nutzer. Das Programm zeigt Kontoname und Profilbild an - und lässt den Hacker mit einem Klick den Account inklusive aller Rechte übernehmen. So können nicht nur Nachrichten unter falschem Namen verbreitet werden, gefährlich ist vor allem der Zugriff auf private und sogar Kontodaten sowie Passwörter.

Hackertool soll Firmen zu mehr Sicherheit zwingen
Noch ist die Funktionsweise des Tools eingeschränkt, wie "Chip.de" in einem Praxistest herausgefunden hat - ob die Daten ausgelesen werden können, hängt von Soft- und Hardware des potenziellen Opfers ab. Hacker werden allerdings nicht lange zögern, das Programm zu ihren Gunsten umzuarbeiten. Erfinder Butler hatte genau das im Sinn: Nur so seien Website-Betreiber dazu zu bewegen, mehr Sicherheit in Form vollständig per HTTPS oder SSL verschlüsselte Seiten zu betreiben, ließ er wissen.

So kannst du dich schützen
Wer auf Nummer sicher gehen möchte, sollte in öffentlichen WLAN-Spots tunlichst auf den Zugriff auf persönliche Dienste verzichten, seien es Social Networks, E-Mail-Accounts oder Online-Shops. Eine Möglichkeit, für mehr Sicherheit zu sorgen, ist außerdem die Firefox-Erweiterung "HTTPS Everywhere". Ist eine verschlüsselte Verbindung von Seiten des Website-Betreibers möglich, wird sie automatisch vom Firefox-Browser genützt.

Den Link zum Download von "HTTPS Everywhere" findest du in der Infobox.