57 zwielichtige Chrome-Erweiterungen wurden sechs Millionen Mal installiert

Forscher identifizieren 57 potenziell gefährliche Browser-Erweiterungen im Chrome Web Store. Erfahre hier, warum sie gefährlich sind und wie du ihnen nicht zum Opfer fällst.

57 verdächtige Chrome-Erweiterungen mit Millionen von Installationen

Cybersicherheitsforscher haben im offiziellen Chrome Web Store 57 verdächtige Erweiterungen mit mehr als sechs Millionen Anwendern gefunden. Die Plug-ins haben ihre Aufmerksamkeit erregt, da die angeforderten Berechtigungen nicht mit ihren Beschreibungen übereinstimmen.

Darüber hinaus sind diese Erweiterungen „versteckt“, d. h. sie werden bei Suchanfragen im Chrome Web Store nicht angezeigt und von Suchmaschinen nicht indiziert. Für die Installation eines solchen Plug-ins ist ein direkter Link im Chrome Web Store erforderlich. Dieser Beitrag erklärt, warum Erweiterungen ein gefährliches Werkzeug für Cyberkriminelle sein können, erläutert die direkte Bedrohung, die von diesen kürzlich entdeckten Plug-ins ausgeht, und gibt Tipps, wie man bösartigen Erweiterungen nicht zum Opfer fällt.

Warum Erweiterungen gefährlich sind und wie Bequemlichkeit die Sicherheit untergräbt

Wir haben schon oft darüber gepostet, warum Browser-Erweiterungen nicht leichtfertig installiert werden sollten. Browser-Plug-ins helfen den Benutzern oft, Routineaufgaben wie das Übersetzen von Informationen auf Websites oder die Rechtschreibprüfung zu beschleunigen; die eingesparten Minuten gehen jedoch oft auf Kosten der Privatsphäre und der Sicherheit.

Der Grund dafür ist, dass Erweiterungen normalerweise Zugriff auf alles haben, was man im Browser tun, um effektiv zu funktionieren. Sogar Google Übersetzer fragt danach, „Alle deine Daten auf allen Websites lesen und ändern“ zu dürfen. Das heißt, der Übersetzer kann nicht nur deine Online-Aktivitäten überwachen, sondern auch alle Informationen auf einer Seite ändern. Der Übersetzer kann beispielsweise eine Übersetzung anstelle des Originaltexts anzeigen. Wenn sogar ein Online-Übersetzungstool dazu in der Lage ist, was könnte dann eine bösartige Erweiterung mit denselben Zugriffsrechten anstellen!

Das Problem ist, dass sich die meisten Benutzer der Risiken, die von Plug-ins ausgehen, nicht bewusst sind. Während ausführbare Dateien aus nicht vertrauenswürdigen Quellen als potenziell gefährlich angesehen werden, genießen Browser-Erweiterungen ein breites Maß an Vertrauen – insbesondere, wenn sie aus einem offiziellen Store heruntergeladen werden.

Zu viele unnötige Berechtigungen

Im Fall der 57 verdächtigen Erweiterungen, die im Chrome Web Store gefunden wurden, war das wichtigste Anzeichen für böswillige Absicht die breite Palette von angeforderten Berechtigungen, z. B. Zugriff auf Cookies, einschließlich Authentifizierungs-Cookies.

In der Praxis können Angreifer auf diese Weise Sitzungs-Cookies von den Geräten der Opfer stehlen. Diese Sitzungs-Cookies werden verwendet, damit nicht bei jedem Besuch einer Website ein Passwort eingegeben werden muss. Solche Cookies ermöglichen es Betrügern auch, sich bei den persönlichen Konten des Opfers in sozialen Netzwerken oder Online-Shops anzumelden.

Beispiel für eine verdächtige Erweiterung im Chrome Web Store

Die Erweiterung „Browser Checkup for Chrome by Doctor“ ist eine der verdächtigen Erweiterungen, die sich als „Antiviren-Programm“ für den Browser ausgibt. Quelle

Darüber hinaus gewähren die angeforderten Berechtigungen den bösartigen Erweiterungen eine Reihe interessanter Funktionen, darunter:

  • Tracking von Benutzeraktionen in Chrome
  • Ändern der Standardsuchmaschine und Ändern der Suchergebnisse
  • Einfügen und Ausführen von Skripten auf besuchten Seiten
  • Aktivieren des erweiterten Trackings von Benutzeraktionen aus der Ferne

Wie die Untersuchung begann

Der Cybersicherheitsforscher John Tuckner ist den verdächtigen Erweiterungen auf die Spur gekommen, nachdem er den Code einer dieser Erweiterungen, nämlich Fire Shield Extension Protection, untersucht hatte. Tuckner entdeckte diese Erweiterung zunächst, weil sie im offiziellen Chrome Store als ausgeblendet veröffentlicht wurde – sie tauchte nicht in den Suchergebnissen auf und war nur über einen direkten Link zu der Seite im Chrome Web Store zugänglich.

Allerdings sind versteckte Erweiterungen und Apps in offiziellen Stores keine Seltenheit. Die großen Plattformen ermöglichen es Entwicklern, sie vor den Augen normaler Benutzer zu verbergen. Eine solche Vorgehensweise ist in der Regel den Eigentümern privater Unternehmenssoftware vorbehalten und nur für die Verwendung durch die Mitarbeiter eines bestimmten Unternehmens bestimmt. Ein weiterer triftiger Grund für das Ausblenden eines Produkts ist, wenn es sich noch in der Entwicklungsphase befindet.

Beide Erklärungen konnten jedoch im Fall von Fire Shield Extension Protection mit mehr als 300 000 Benutzern ausgeschlossen werden: Ein privates Unternehmenstool in der Entwicklungsphase mit einer solchen Benutzerbasis? Eher unwahrscheinlich.

Anzahl der Benutzer verdächtiger Erweiterungen

Verdächtige Erweiterungen mit jeweils 200 000 bis 300 000 Benutzern. Quelle

Darüber hinaus passten die Plug-in-Funktionen nicht zum Profil einer hoch spezialisierten Unternehmenslösung: In der Beschreibung heißt es, dass Fire Shield die Berechtigungen überprüft, die von anderen vom Benutzer installierten Erweiterungen angefordert werden, und vor unsicheren Plug-ins warnt.

Um solche Aufgaben auszuführen, sollte Fire Shield nur die Berechtigung zur Verwendung der chrome.management API benötigen, die es der Erweiterung ermöglicht, Informationen über andere installierte Plug-ins zu erhalten und diese zu verwalten. Fire Shield wollte jedoch viel umfassendere Rechte, die wir oben mit einer Beschreibung der Bedrohungen aufgelistet haben, die mit dieser Zugriffsebene verbunden sind.

Verdächtiges Plug-in fordert zu weit gefasste Berechtigungen an

Verdächtiges Plug-in benötigt zu viele Berechtigungen – einschließlich Zugriff auf alle Websites, Cookies und Benutzeraktivitäten. Quelle

57 Plug-ins, die als legitime Tools getarnt sind

Bei der Analyse von Fire Shield Extension Protection fand Tuckner einen Hinweis, der ihn zu 35 weiteren verdächtigen Erweiterungen führte. Unter den aus dem Erweiterungscode extrahierten Links ist ihm die Domäne „unknow[.]com“ aufgefallen (anscheinend ein Schreibfehler des englischen Worts „unknown“, das „unbekannt“ bedeutet). Ein Tippfehler in einer Domäne ist für jeden Cybersicherheitsexperten ein Warnsignal, da dies ein gängiger Trick ist, der von Betrügern verwendet wird, die hoffen, dass das Opfer es nicht bemerkt.

Mit einem speziellen Tool fand Tuckner 35 weitere Erweiterungen, die mit derselben verdächtigen Domäne verbunden waren. Auch die Namen der Erweiterungen hatten viele Gemeinsamkeiten, was einen Zusammenhang bestätigte. Und sie alle forderten umfassende Zugriffsrechte an, die nicht der angegebenen Beschreibung entsprachen.

Erweiterungen, die mit der Domäne „unknow[.]com“ verknüpft sind, die die Untersuchung von John Tuckner in Gang setzte. Quelle

Die meisten der verdächtigen Erweiterungen, die Tuckner gefunden hat, hatten eine ziemlich standardmäßige Auswahl an beschriebenen Funktionen: Blockieren von Anzeigen, Verbessern der Suchergebnisse und Schutz der Privatsphäre der Benutzer. In Wirklichkeit fehlte jedoch vielen von ihnen der Code, um diese Aufgaben auszuführen. Einige der Erweiterungen stammten alle von denselben Unternehmen.

In weiteren Untersuchungen konnte Tuckner 22 weitere verdächtige Plug-ins identifizieren, von denen einige öffentlich zugänglich (nicht versteckt) waren. Hier ist die vollständige Liste – nachstehend führen wir nur die versteckten Erweiterungen mit den meisten Downloads an:

  • Fire Shield Extension Protection (300 000 Benutzer)
  • Total Safety for Chrome (300 000 Benutzer)
  • Protecto for Chrome (200 000 Benutzer)
  • Securify for Chrome (200 000 Benutzer)
  • Choose Your Chrome Tools (200 000 Benutzer)

Das Fazit?

Alle Hinweise deuten darauf hin, dass Angreifer ihre bösartigen Plug-ins verstecken, um zu verhindern, dass sie von den offiziellen Store-Moderatoren entdeckt werden. Gleichzeitig werden solche Erweiterungen häufig über Suchanzeigen oder bösartige Websites verbreitet.

Die Forscher fanden keine Fälle, in denen die identifizierten verdächtigen Erweiterungen Benutzerpasswörter oder Cookies gestohlen haben. Nach eingehender Untersuchung des Codes und einer Reihe von Experimenten kamen sie zu dem Schluss, dass das erweiterte Tracking der Benutzeraktivität nicht sofort, sondern einige Zeit nach der Installation der Erweiterung beginnt und durch einen Befehl von einem Remote-Server gestartet werden kann.

Die Art des Codes, die Möglichkeit der Fernsteuerung, die sich wiederholenden Verhaltensmuster und die eingebetteten Funktionen lassen darauf schließen, dass alle Erweiterungen zur gleichen Familie von Spyware oder Datendiebstahlprogrammen gehören. Daher empfehlen wir:

  • Überprüfe dein Gerät auf verdächtige Erweiterungen (vollständige Liste ansehen).
  • Lade nur die Erweiterungen herunter, die du wirklich benötigst. Überprüfe die Liste in deinem Browser regelmäßig und lösche nicht verwendete oder verdächtige Dateien sofort.
  • Installiere eine zuverlässige Sicherheitslösung auf allen Geräten , die dich rechtzeitig vor Gefahren warnt.

Browser-Plug-ins sind gefährlicher, als sie aussehen. Lies auch:

Tipps

Passkeys 2025: Tipps für erfahrene Nutzer

Wie funktioniert die Passkey-Anmeldung von einem fremden Computer aus? Wie speichert man Passkeys auf einem Wechseldatenträger? Wie überträgt man Passkeys zwischen Geräten? – Fragen über Fragen. Unser Leitfaden hilft weiter.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder