Grammarly: Leck in Browser-Erweiterung gefährdete 22 Millionen User

Ein wichtiger Text für das erste Arbeitsprojekt oder eine Vorstellungsmail für ein Bewerbungsgespräch – es wäre ärgerlich, wenn sich dort Tippfehler oder Grammatikpannen einschleichen. Das soll, so versprechen es die auf Youtube ausgespielten Werbeclips, der Dienst Grammarly verhindern. Von der falschen Zeitform bis hin zur Setzung von Kommata soll der kostenlose Service alle möglichen Probleme erkennen und semi-automatisch korrigieren. Wer noch komplexere Erkennung wünscht, dem steht auch eine bezahlte Premiumoption offen.

Genutzt wird Grammarly in Form einer Browsererweiterung, die für Google Chrome und Mozilla Firefox angeboten wird. Was die 22 Millionen Nutzer weniger freuen dürfte: Dank eines Sicherheitslecks hatten Angreifer die Möglichkeit, auf ihre sensiblen Daten zuzugreifen.

Das geht aus einem Eintrag von Tavis Ormandy für Googles Project Zero hervor, der sich die Grammarly-Extension näher angesehen hat. Die Software hat ihr Authentifizierungs-Token an alle vom Nutzer besuchten Webseiten übermittelt. Dieses Token zu erfassen, etwa über eine manipulierte Seite, konnte Angreifern den Zugriff auf das Grammarly-Konto der Nutzer ermöglichen.

Da sich Grammarly automatisch in Textfelder einklinkt, sind in diesen Konten entsprechend diverse archivierte Eingaben hinterlegt. Darunter auch potenziell vertrauliche Daten.

Ormandy hat Grammarly vor wenigen Tagen über das Problem in Kenntnis gesetzt, das Leck wurde daraufhin flott behoben. Mittels automatischer Aktualisierung sollten alle Nutzer – sofern sie die Erweiterung über die Extension-Kataloge von Google und Mozilla bezogen haben – bereits mit der aktualisierten und abgesicherten Fassung arbeiten. Offen bleibt, ob die Schwachstelle zuvor schon von Cyberkriminellen entdeckt und ausgenutzt wurde.

2018-02-06T14:04:56+00:00