Via JavaScript kunnen malafide sites standaardfuncties van de browser overnemen om zo gegevens te stelen via een 'legitieme' feature. Browsermakers geven er geen prioriteit aan het issue op te lossen.

Onderzoekers hebben nu ook aangetoond dat de zoekfunctie in browsers gekaapt kan worden zodat een hacker gegevens kan bemachtigen via een eigen boxje die met CTRL F wordt opgeroepen, meldt Ars Technica. De methode bestaat al lang, maar browsermakers geven er geen prioriteit aan om het issue aan te pakken.

Een proof-of-concept begint met een lijst van 10.000 zogenaamd gestolen creditcardnummers. Als mensen dan vervolgens kijken of hun eigen gegevens ertussen zitten met een zoekcommando, vangt een hacker deze zoektocht op.
Site kaapt gegevens

Bij het openen van de zoekbalk, wordt een dialoogvenster geopend dat iets afwijkt van de standaardfunctie in de browser, om aan te tonen dat deze is overgenomen. Het is een koud kunstje voor hackers om deze zodanig grafisch te tweaken dat ze niet van de echte zoekbox te zijn onderscheiden.

Het event preventDefault wordt in de aanpassing misbruikt om ervoor te zorgen dat de standaardfunctie van een opdracht niet wordt uitgevoerd. Door zo'n event op 'STRG +F', dat een zoekvenster opvraagt, te zetten kan een eigen venster worden geļmplementeerd in plaats van dat de zoekfunctie van de browser wordt opgevraagd. Een cybercrimineel kan een site waarop gegevens zogenaamd worden gelekt voorzien van deze code om gegevens te kapen.

De methode kan al jaren worden ingezet door cybercriminelen om bijvoorbeeld via sneltoetsen te doen alsof legitieme browserfuncties worden gestart. Onderzoekers publiceerden onlangs proof-of-concepts in de vorm van voorbeeldsites om te demonstreren hoe preventDefault kan worden ingezet.
Zoekfunctie weer vastmaken

Een van de ontdekkers, Ben Toews, zegt het issue te hebben gemeld aan de ontwikkelaars van browser Chome die het een lage prioriteit meegaven. "Ik weet niet zeker of ik het oneens ben met die analyse, maar ik denk wel dat dit een issue is waar rekening mee moet worden gehouden", aldus Toews.

In het voorbeeld wordt de zoekbalk misbruikt, maar via preventDefault kan de feature ook worden uitgevoerd op andere opdrachten. "Ctrl + O kan worden gekaapt een een nepdialoog starten waarin een wachtwoord moet worden ingevoerd om systeemtoegang te krijgen", waarschuwt Toews.

Een oplossing ligt volgens de onderzoeker in het verwerken van de zoekfunctionaliteit in een dialooG**x die niet kan worden aangezien voor content van de website. Door de zoekbalk niet meer los te maken maar bijvoorbeeld weer in het menu te verwerken, is het duidelijk te zien als een kaappoging wordt ondernomen. Een andere oplossing is het waarschuwen van gebruikers wanneer een preventDefault wordt opgeroepen.