{"id":29283,"date":"2022-09-22T14:15:04","date_gmt":"2022-09-22T12:15:04","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29283"},"modified":"2022-10-06T08:26:18","modified_gmt":"2022-10-06T06:26:18","slug":"dangers-of-browser-extensions","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dangers-of-browser-extensions\/29283\/","title":{"rendered":"Die versteckte Gefahr von Browser-Erweiterungen"},"content":{"rendered":"

Wir alle haben vermutlich schon einmal Browser-Erweiterungen wie Ad-Blocker, Online-\u00dcbersetzer oder Erweiterungen zur Rechtschreib- oder Stilpr\u00fcfung installiert. Aber nur wenige von uns stellen sich die Frage, wie sicher die kleinen Helfer \u00fcberhaupt sind. Leider k\u00f6nnen diese scheinbar harmlosen Apps viel gef\u00e4hrlicher sein, als sie auf den ersten Blick scheinen m\u00f6gen. In diesem Beitrag m\u00f6chten wir deshalb anhand unseres aktuellen Expertenberichts<\/a> genauer darauf eingehen, was mit Browser-Erweiterungen schiefgehen kann.<\/p>\n

\u00a0<\/p>\n

Was sind Browser-Erweiterungen und wie funktionieren sie?<\/h2>\n

Beginnen wir mit der grundlegenden Definition und der Ursache des Problems. Eine Browser-Erweiterung ist ein Plug-in, das Ihren Browser um bestimmte Funktionen erweitert. Die Add-ons k\u00f6nnen zum Beispiel Werbung auf Webseiten blockieren, Notizen erstellen die Rechtschreibung \u00fcberpr\u00fcfen und vieles mehr. F\u00fcr g\u00e4ngige Browser gibt es offizielle Stores f\u00fcr Browser-Erweiterungen, die bei der Auswahl, dem Vergleich und der Installation der gew\u00fcnschten Plug-ins helfen. Erweiterungen k\u00f6nnen aber auch aus inoffiziellen Quellen installiert werden.<\/p>\n

Damit sie ordnungsgem\u00e4\u00df funktionieren, m\u00fcssen Erweiterungen die Berechtigung zum Lesen und \u00c4ndern des Inhalts von Webseiten haben, die im Browser angezeigt werden. Ohne diesen Zugriff ist jede Browser-Erweiterung vermutlich vollkommen nutzlos.<\/p>\n

\u00dcbrigens beanspruchen Erweiterungen f\u00fcr Google Chrome die F\u00e4higkeit, alle Daten von den von Ihnen besuchten Websites zu lesen und zu \u00e4ndern. Ziemlich verr\u00fcckt, oder? Dennoch schenken selbst offizielle Stores all dem wenig Beachtung.<\/p>\n

Im offiziellen Chrome Web Store wird beispielsweise im Abschnitt Umgang mit dem Datenschutz<\/em> der beliebten Google Translate-Erweiterung darauf hingewiesen, dass sie Informationen \u00fcber den Standort, die Nutzeraktivit\u00e4ten und den Inhalt von Websites sammelt. Die kleine, aber feine Tatsache, dass sie Zugang zu allen Daten von allen Websites ben\u00f6tigt, um zu funktionieren, wird dem Nutzer jedoch erst bei der Installation der Erweiterung mitgeteilt.<\/p>\n

\"\"

Die Erweiterung Google Translate m\u00f6chte \u201ealle deine Daten auf allen Websites lesen und \u00e4ndern<\/p><\/div>\n

\u00a0<\/p>\n

Viele, wenn nicht sogar die meisten Nutzer werden diese Meldung wahrscheinlich nicht einmal lesen und automatisch auf Erweiterung hinzuf\u00fcgen<\/em> klicken, um das Plug-in sofort zu verwenden. All dies bietet Cyberkriminellen die M\u00f6glichkeit, unter dem Deckmantel scheinbar harmloser Erweiterungen Adware<\/a> und sogar Malware<\/a> zu verbreiten.<\/p>\n

Im Falle von Adware-Erweiterungen, erm\u00f6glicht ihnen die Zustimmung, den angezeigten Inhalt zu \u00e4ndern, Werbung auf den von Ihnen besuchten Websites zu schalten. In diesem Fall verdienen die Entwickler der Erweiterungen Geld, wenn die Nutzer auf bestimmte Affiliate-Links zu Websites von Werbetreibenden klicken. Um den Inhalt der Anzeigen zielgerichteter zu gestalten, k\u00f6nnen sie dar\u00fcber hinaus Ihre Suchanfragen und andere Daten analysieren.<\/p>\n

Noch schlimmer sieht es bei sch\u00e4dlichen Erweiterungen aus. Durch den Zugriff auf den Inhalt aller besuchten Websites k\u00f6nnen Angreifer Kartendaten<\/a>, Cookies und andere sensible Informationen<\/a> entwenden. Hier einige Beispiele:<\/p>\n

\u00a0<\/p>\n

Betr\u00fcger-Tools f\u00fcr Office-Dateien<\/h2>\n

In den letzten Jahren haben Cyberkriminelle aktiv b\u00f6sartige WebSearch-Adware-Erweiterungen verbreitet. Getarnt sind diese in der Regel als hilfreiche Tools f\u00fcr Office-Dateien, zum Beispiel um Word- in PDF-Dateien zu konvertieren.<\/p>\n

Viele von ihnen f\u00fchren sogar die von ihnen angegebene Funktion aus. Nach der Installation ersetzen sie jedoch die \u00fcbliche Browser-Startseite durch eine Mini-Site mit einer Suchleiste und getrackten Affiliate-Links zu Drittanbieter-Ressourcen, wie AliExpress oder Farfetch.<\/p>\n

\"\"

Browser-Startseite nach dem Download einer Erweiterung der WebSearch-Familie<\/p><\/div>\n

\u00a0<\/p>\n

Sobald die Erweiterung installiert ist, \u00e4ndert sie auch die Standardsuchmaschine in search.myway. Auf diese Weise k\u00f6nnen Cyberkriminelle die Suchanfragen der Nutzer speichern und analysieren und sie mit relevanteren Links, die auf ihre Interessen und Bed\u00fcrfnisse zugeschnitten sind, \u00fcberh\u00e4ufen.<\/p>\n

Derzeit sind WebSearch-Erweiterungen nicht mehr im offiziellen Chrome-Store erh\u00e4ltlich, k\u00f6nnen aber immer noch \u00fcber Drittanbieterquellen heruntergeladen werden.<\/p>\n

\u00a0<\/p>\n

L\u00e4stiges Adware-Add-on<\/h2>\n

Adware-Erweiterungen der DealPly-Familie schleichen sich in der Regel zusammen mit raubkopierten Inhalten, die von dubiosen Websites heruntergeladen wurden, auf die Computer der Benutzer. Ihre Funktionsweise ist \u00e4hnlich wie die der WebSearch-Plug-ins.<\/p>\n

Auch DealPly-Erweiterungen ersetzen die Browserstartseite durch eine Mini-Site mit Affiliate-Links zu beliebten digitalen Plattformen sowie die Standardsuchmaschine und analysieren die Suchanfragen der Benutzer, um personalisierte Werbeanzeigen zu schalten.<\/p>\n

\"\"

Browser-Startseite nach dem Download einer Erweiterung der DealPly-Familie<\/p><\/div>\n

\u00a0<\/p>\n

Dar\u00fcber hinaus sind Mitglieder der DealPly-Familie extrem schwer wieder loszuwerden. Selbst wenn der Benutzer die Adware-Erweiterung entfernt, wird sie jedes Mal, wenn der Browser ge\u00f6ffnet wird, erneut auf dem Ger\u00e4t installiert.<\/p>\n

\u00a0<\/p>\n

AddScript verteilt ungewollte Cookies<\/h2>\n

Erweiterungen, die zur AddScript-Familie geh\u00f6ren, tarnen sich oft als Download-Tool von Musik und Videos aus sozialen Netzwerken oder als Proxy-Server-Manager. Neben dieser Funktionalit\u00e4t infizieren sie jedoch das Ger\u00e4t des Opfers mit Schadcode. Letzterer wird dann von den Angreifern genutzt, um im Hintergrund unbemerkt Videos anzusehen und folglich an der gesteigerten Anzahl der Aufrufe zu verdienen.<\/p>\n

Eine weitere Einnahmequelle f\u00fcr Cyberkriminelle ist der Download von Cookies auf das Ger\u00e4t des Opfers. Im Allgemeinen werden Cookies beim Besuch einer Website auf dem Ger\u00e4t des Nutzers gespeichert und k\u00f6nnen als eine Art digitale Markierung verwendet werden. Normalerweise versprechen Affiliate-Websites, Kunden auf eine legitime Website zu leiten. Um dies zu erreichen, locken sie Nutzer zun\u00e4chst auf ihre eigene Website, die im Normalfall mit interessanten oder n\u00fctzlichen Inhalten versehen ist. Dann speichern sie ein Cookie auf dem Computer des Nutzers und leiten ihn mit einem Link auf die eigentliche Zielseite weiter. Anhand dieses Cookies erkennt die Website dann, woher der Neukunde stammt, und zahlt dem Partner eine Geb\u00fchr \u2013 manchmal f\u00fcr die Weiterleitung selbst, f\u00fcr eine bestimmte Aktion, z. B. die Registrierung, o. \u00c4.<\/p>\n

Die Entwickler von AddScript nutzen eine sch\u00e4dliche Erweiterung, um genau dieses Verfahren zu missbrauchen. Anstatt authentische Website-Besucher an Partner weiterzuleiten, laden sie mehrere Cookies auf die infizierten Ger\u00e4te herunter. Diese Cookies dienen den Betr\u00fcgern dann als \u201eMarkierung\u201c und die AddScript-Betreiber erhalten im Gegenzug eine Provision. Doch in Wirklichkeit werben sie \u00fcberhaupt keine Neukunden an, und ihre \u201ePartner\u201c-Aktivit\u00e4t besteht lediglich darin, Computer mit sch\u00e4dlichen Erweiterungen zu infizieren.<\/p>\n

\u00a0<\/p>\n

FB Stealer \u2014 ein Cookie-Dieb<\/h2>\n

FB-Stealer, eine weitere Familie sch\u00e4dlicher Browser-Erweiterungen, funktioniert anders. Anders als AddScript, laden Mitglieder dieser Familie keine \u201eExtras\u201c auf das infizierte Ger\u00e4te, sondern stehlen wichtige Cookies. Funktionieren tut dies folgenderma\u00dfen.<\/p>\n

Die FB-Stealer-Erweiterung bahnt sich gemeinsam mit dem Trojaner NullMixer, den sich Nutzer h\u00e4ufig beim Download gehackter Software-Installer einfangen, ihren Weg auf das Ger\u00e4t des Opfers. Nach der Installation modifiziert der Trojaner die Datei, die zur Speicherung der Chrome-Einstellungen genutzt wird.<\/p>\n

Nach erfolgreicher Aktivierung gibt FB Stealer vor, die Google-Translate-Erweiterung zu sein, damit Nutzer ihr Schutzschild ablegen. Die Erweiterung sieht sehr \u00fcberzeugend aus. Der einzige Nachteil f\u00fcr die Angreifer ist die Browser-Warnung, dass der offizielle Store \u00fcber keine Informationen \u00fcber die Erweiterung verf\u00fcgt.<\/p>\n

\"\"

Browser-Warnung, dass der offizielle Store keine Informationen \u00fcber die Erweiterung enth\u00e4lt<\/p><\/div>\n

\u00a0<\/p>\n

Mitglieder dieser Familie ersetzen ebenfalls die Standardsuchmaschine des Browsers, aber das ist definitiv nicht das Schlimmste an diesen Erweiterungen. Die Hauptfunktion von FB Stealer besteht darin, Sitzungscookies von Nutzern des weltweit gr\u00f6\u00dften sozialen Netzwerks zu stehlen, daher auch der Name. Hierbei handelt es sich um eben die Cookies, die es Ihnen erm\u00f6glichen, eine erneute Anmeldung bei jedem Websitebesuch zu umgehen \u2013 und sie \u00f6ffnen Angreifern ohne jegliches Passwort T\u00fcr und Tor. Nachdem Kriminelle auf diese Weise ein Konto gehijackt haben, k\u00f6nnen sie dann z. B. Freunde und Verwandte des Opfers anschreiben und diese um Geld bitten.<\/p>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie sich<\/h2>\n

Browser-Erweiterungen sind n\u00fctzliche Tools, die dennoch mit Vorsicht zu behandeln sind. Oftmals sind sie n\u00e4mlich nicht so harmlos, wie sie auf den ersten Blick scheinen. Daher empfehlen wir Ihnen folgende Sicherheitsma\u00dfnahmen:<\/p>\n