Privatsphäre: Chrome-Extensions können noch immer eine Menge anrichten

Eine Analyse zeigt, was sich trotz Googles Chrome Extension Manifest V3 alles ausspähen lässt, wenn Nutzer bei der Installation nicht vorsichtig sind.

Artikel veröffentlicht am ,
Mehr Chrome: Bei den Berechtigungen für Chrome-Erweiterungen gilt es weiter aufzupassen.
Mehr Chrome: Bei den Berechtigungen für Chrome-Erweiterungen gilt es weiter aufzupassen. (Bild: PiConsti via flickr/CC-BY-SA 2.0)

Auch wenn die Spezifikation des Chrome Extension Manifest V3 hauptsächlich als Maßnahme gegen Adblocker wahrgenommen wurde, begründet Google die Einführung der neuen Plugin-Regeln für Chrome mit "Verbesserungen in Sicherheit, Datenschutz und Performance". Der Frage, was mit auf das Ausspähen von Nutzerdaten ausgelegten Plugins dennoch immer noch möglich ist, hat sich Extension-Entwickler Matt Frisbie angenommen und die Ergebnisse veröffentlicht.

Zwei Erkenntnisse hat sich Frisbie mit seiner Analyse erhofft. Zum einen wollte er "erkunden, was mit Chrome-Erweiterungen möglich ist", zum anderen wollte er zeigen, was passieren kann, wenn man bei der Installation nicht genug aufpasst oder mit der Deutung und Einordnung von angeforderten Berechtigungen überfordert ist.

Annahme: Berechtigungen werden einfach abgenickt

Frisbie setzte die Regeln für seinen Test so, dass Nutzer, sobald sie die umfangreichen, angefragten Berechtigungen einmal abgenickt haben, keine weiteren Auffälligkeiten bemerken sollten. Also: keine zusätzlichen Konsolenmeldungen, Warnungen oder Fehler, keine zusätzlichen Browser-Warn- oder Berechtigungsdialoge, auch kein zusätzlicher Netzwerkverkehr in der Größenordnung von zusätzlichen Seiten. Unter diesen Voraussetzungen wäre es also selbst für aufmerksame Nutzer mit etwas Hintergrundwissen schwer zu entdecken, dass eine Extension etwas macht, das man nicht will - wenn sie erst einmal installiert ist.

Einfach mal alle Permission angefragt

Wenn eine Extension alle Berechtigungen, die Chrome unterstützt, anfragt, fällt eines auf: Nur fünf davon werden direkt angezeigt, für alle anderen muss man scrollen. Die direkt sichtbaren, angefragten Berechtigungen sind der Zugriff auf den Seiten-Debugger, das Lesen und Ändern der angezeigten Webseite, die Ortsbestimmung, das Lesen und Bearbeiten der Browser-History und die Möglichkeit, Notifikationen anzuzeigen. Scrollen muss man für Berechtigungen, die Google weniger priorisiert. Dort versteckt sind Dinge wie Apps, Extensions und Themes zu administrieren, Screenshots machen zu können, der Zugriff auf Cookies, Javascript, Plugins, Mikrofon, Kamera, Downloads, die Privatsphäreeinstellungen, der Copy/Paste-Buffer, die Bookmarks und die Kommunikation mit nativen Applikationen.

Ausgestattet mit diesen Rechten stellen Funktionen wie chrome.cookies.getAll({}) oder chrome.history.search({ text: "" })D alle Cookies beziehungsweise die gesamte Browsing-History zur Verfügung. Ein Keylogger ist in wenigen Zeilen implementiert. Ein paar mehr Zeilen braucht man, um den Inhalt eines beliebigen Hintergrund-Tabs mit einer anderen Webseite auszutauschen, ohne dass sich der Name, die angezeigte URL oder das Webseiten-Icon im Tab ändert - um so einen Webseitenaufruf zu generieren, eine Webseite mit Schadcode auszuführen oder eben doch noch Code nachladen zu können. Wie der Todo-Punkt bei Extensionanbietern aussehen könnte, die so etwas nutzen wollen, fasst Frisbie so zusammen: "Do bad things." (Deutsch: "Mach böse Dinge.")

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
USA
Amateurfunker nutzen 22-Meter-Skulptur als Antenne

Mit nur fünf Watt Sendeleistung konnten Studenten in New York fast die gesamten östlichen USA abdecken - dank einer Skulptur als Antenne.

USA: Amateurfunker nutzen 22-Meter-Skulptur als Antenne
Artikel
  1. E-Fuels: VDA begrüßt Verbrennerkompromiss, Greenpeace übt Kritik
    E-Fuels
    VDA begrüßt Verbrennerkompromiss, Greenpeace übt Kritik

    Die Einigung zwischen EU-Kommission und Bundesregierung zu Verbrennermotoren ruft erste Reaktionen hervor.

  2. Angeblicher ARD-Plan: Rundfunkbeitrag könnte auf über 25 Euro steigen
    Angeblicher ARD-Plan
    Rundfunkbeitrag könnte auf über 25 Euro steigen

    Laut einem Bericht wollen die öffentlich-rechtlichen Sender eine Anhebung des Rundfunkbeitrags auf bis zu 25,19 Euro pro Monat fordern.

  3. Elektrifizierung von Kommunalfahrzeugen: Radnabenantrieb von Schaeffler serienreif
    Elektrifizierung von Kommunalfahrzeugen
    Radnabenantrieb von Schaeffler serienreif

    Schaeffler setzt auf Radnabenantriebe für die Elektrifizierung von Fahrzeugen, die nicht schnell fahren und beispielsweise in der Stadt eingesetzt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MediaMarkt-Osterangebote • 3 Spiele kaufen, 2 zahlen • Cyberport Jubiläums-Deals • MSI Optix 30" WFHD/200 Hz 289€ • Verbatim 1-TB-SSD 42,90€ • Creative Sound Blaster X G6 99,99€ • Thrustmaster T300 RS GT PC/PS 290€ • Logitech G535 Lightspeed 69,99€ • NBB Black Weeks [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /