Nutzerdaten gefährdet: Über 100 Chrome-Extensions beim Datenklau erwischt
Sicherheitsforscher von Socket haben eine Angriffskampagne aufgedeckt, an der insgesamt 108 Erweiterungen aus dem Chrome Web Store beteiligt sind. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) wurden die Chrome-Extensions von fünf verschiedenen Publishern veröffentlicht. Eine gemeinsam genutzte Infrastruktur deutet jedoch darauf hin, dass der gleiche Angreifer dahinter steckt.
Ziel des Angriffs ist in erster Linie Datenklau. Den Angaben zufolge leiten die Erweiterungen zahlreiche Browsing-Daten und Anmeldeinformationen aus – darunter OAuth2-Token für Google-Accounts und Telegram-Web-Sessions. Einige der Extensions sollen auch verdächtige Skripte in jede vom Anwender besuchte Website einschleusen.
Bei 45 Chrome-Erweiterungen fanden die Forscher zudem eine Art Backdoor. Diese zeichnet sich dadurch aus, dass bei jedem Start des Browsers ein neuer Tab geöffnet wird, der eine vom Angreifer vorgegebene URL ansteuert. Letztere wird unmittelbar nach dem Öffnen des Webbrowsers von einem Server abgerufen und kann sich daher jederzeit ändern.
Download weiterhin möglich
Wer sich für eine vollständige mit Namen und IDs bestückte Liste der bösartigen Erweiterungen sowie nähere technische Details zum enthaltenen Schadcode interessiert, findet diese im Blogbeitrag von Socket(öffnet im neuen Fenster). Auch von den Angreifern genutzte Domains und E-Mail-Adressen werden dort genannt. Die Namen der fünf Publisher lauten Yana Project, Gamegen, Sidegames, Rodeo Games und Interalt.
Nach Angaben der Forscher wurden die 108 Chrome-Extensions zusammen rund 20.000-mal installiert. Diese Zahl könnte allerdings in nächster Zeit noch ansteigen, denn laut Socket sind die Erweiterung nach wie vor im Chrome Web Store verfügbar. Die Golem-Redaktion testete dies stichprobenartig und kann bestätigen, dass zumindest einige der Extensions noch online sind.
Die Forscher informierten Google aber nach eigenen Angaben über ihre Entdeckungen. Früher oder später dürften die bösartigen Erweiterungen also aus dem Chrome Web Store verschwinden. Socket empfiehlt Anwendern zu überprüfen, ob eine ihrer Extensions auf der Liste steht und diese gegebenenfalls sofort zu entfernen.
Erst kürzlich hatte ein anderes Forscherteam 287 Chrome-Extensions entdeckt, die für mehrere Datenbroker das Surfverhalten von Nutzern ausspioniert haben. Mit zusammen über 37 Millionen Downloads war das Ausmaß dieser Kampagne deutlich größer.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.