John Tucker, Gründer von Secure Annex, berichtete kürzlich über eine interessante Entdeckung in Bezug auf Chrome-Webbrowser-Erweiterungen. Der Experte für Webbrowser-Sicherheit versuchte, einem seiner Kunden technische Unterstützung zu Erweiterungen zu geben. Der Kunde hatte ursprünglich einige Erweiterungen installiert, um die Sicherheit des Systems zu überwachen. Doch anstatt die Sicherheit zu verbessern, hat er die Situation offenbar noch verschlimmert, indem er verdächtige Erweiterungen installierte, die ein Sicherheitsrisiko darstellen könnten.
Nach der Entdeckung dieser Erweiterungen führte der Sicherheitsingenieur weitere Nachforschungen durch und fand zwei der 132 Erweiterungen, die nicht nur nicht im Chrome Web Store aufgeführt waren, sondern auch bei der Suche im Internet nicht gefunden wurden. Solche Erweiterungen können von Nutzern nur über direkte Links bezogen werden, zum Beispiel von Websites oder Foren. Die Verwendung von nicht gelisteten Erweiterungen ist nicht so ungewöhnlich, wie es zunächst klingen mag. So verwenden einige Unternehmen benutzerdefinierte Erweiterungen, um den öffentlichen Zugang zu ihren internen Tools zu beschränken.
Solche Erweiterungen werden auch von Cyberkriminellen verwendet, die sie nutzen, um vor den Augen von Google verborgen zu bleiben, während sie versuchen, die Systeme der infizierten Nutzer auszunutzen. Die Untersuchung endete nicht, nachdem die beiden fraglichen verdächtigen Erweiterungen überprüft worden waren, und es wurden 33 weitere Erweiterungen gefunden, die ebenso verdächtig waren. Mehrere dieser Erweiterungen sind mit denselben Servern verknüpft, weisen ähnliche Codemuster auf und fordern von den Nutzern dieselben Berechtigungen, was darauf schließen lässt, dass sie von einem bestimmten Entwickler oder einer Gruppe von Entwicklern erstellt wurden.
Die Plug-ins fordern Zugriff auf eine Vielzahl sensibler Daten, wie Browser-Tabs und -Fenster, Cookies, Datenspeicher, Warnmeldungen, Verwaltungs-APIs und Skriptausführung. Diese Zugriffsebene wird von normalen Plug-ins in der Regel nicht angefordert, aber da sie Zugriff auf so viele Daten haben, ist es für Cyberkriminelle ein Leichtes, das System für ihre Zwecke zu nutzen, indem sie beispielsweise auf sensible Daten zugreifen.
Laut John Tucker reicht diese Menge an Informationen aus, um jedes Unternehmen oder jede Organisation zu veranlassen, diese Erweiterungen aus ihrer Unternehmensumgebung zu entfernen, da sie ein unnötiges Risiko darstellen. Die Kodierung der Erweiterungen deutet auch darauf hin, dass ihre Schöpfer verbergen wollten, was die einzelnen Zeilen im Hintergrund tatsächlich tun, was definitiv verdächtig ist. Solche Kodierungstechniken machen es schwierig, die Funktionsweise der Anwendung zu verstehen, was darauf schließen lässt, dass die Software nicht mit guten Absichten entwickelt wurde.
Insgesamt wurden die 35 fraglichen Erweiterungen mehr als 4 Millionen Mal von Nutzern installiert, was eine extrem hohe Zahl ist, zumal diese Erweiterungen nicht in Suchanfragen erscheinen und daher nicht viel Aufmerksamkeit erregen. Von den 35 Erweiterungen erhielten 10 das Google-Siegel "Featured", was bedeutet, dass es sich um sichere, zuverlässige und nützliche Software handelt. Es ist ein Rätsel, inwieweit diese Kennzeichnung zur Verbreitung der Erweiterungen beigetragen hat, aber wahrscheinlich hat sie das Vertrauen in sie gestärkt.
Ein weiterer interessanter Zusatz ist, dass eine der Erweiterungen, Fire Sield Extension Protection, von der der Entwickler verspricht, dass sie Ihr System nach verdächtigen oder bösartigen Chrome-Erweiterungen durchsuchen soll, eine JavaScript-Datei enthält, die Daten hochladen und Code und Anweisungen über mehrere verdächtige Domänen herunterladen kann, darunter unknown.com.
Die letztgenannte Domäne ist interessant, weil sie in allen 35 Erweiterungen vorhanden ist, aber noch keine spezifische Funktionalität hat und laut Whois-Suche sogar zum Kauf angeboten wird, was sehr seltsam ist. Es scheint, als ob diese Domain nur als "Platzhalter" verwendet wird, bis eine Domain für die Verwaltung und den Empfang von Daten fertig ist, aber das ist nur meine eigene Meinung. Auf jeden Fall ist unknown.com ein gemeinsamer Nenner, der für die Verknüpfung von Erweiterungen sehr nützlich sein kann.
Eine Liste der getesteten und für verdächtig befundenen Erweiterungen ist unten aufgeführt:
- Wählen Sie Ihre Chrome-Tools
- Fire Shield Chrome Sicherheit
- Sichere Suche für Chrome
- Fire Shield Erweiterungsschutz
- Browser-Checkup für Chrome von Doctor
- Protecto für Chrome
- Unvoreingenommene Suche von Protecto
- Sichern Sie Ihren Browser
- Web-Datenschutz-Assistent
- Securify Kinderschutz
- Bing-Suche von Securify
- Sicheres Surfen für Chrome
- Besseres Surfen durch SecurySearch
- Meine Berechtigungen prüfen für Chrome
- Website-Sicherheit für Chrome
- MultiSearch für Chrome
- Globale Suche für Chrome
- Kartensuche für Chrome
- Watch Tower Übersicht
- Inkognito-Schutzschild für Chrome
- In-Site-Suche für Chrome
- Privacy Guard für Chrome
- Yahoo-Suche von Ghost
- Private Suche für Chrome
- Totale Sicherheit für Chrome
- Data Shield für Chrome
- Browser WatchDog für Chrome
- Inkognito-Suche für Chrome
- Web-Ergebnisse für Chrome
- Cuponomia - Coupon und Cashback
- Securify für Chrome
- Securify Erweiterter Web-Schutz
- Nachrichtensuche für Chrome
- SecuryBrowse für Chrome
- Sicheres Browsen für Chrome
Wenn Sie eine der oben genannten Erweiterungen installiert haben, sollten Sie sie sofort entfernen, da sie ein Sicherheitsrisiko darstellen.
Weitere Informationen zu diesem Thema finden Sie auf der Secure Annex Website .
