Im Jahr 2019 wurde bekannt, dass ein Netzwerk von Browser-Erweiterungen, hauptsächlich für Chrome, sensible Daten von bis zu vier Millionen Nutzern abgegriffen hat. Zu den gekratzten Daten gehörten personenbezogene Daten, Browserverlauf, medizinische Informationen und mehr. Die Daten wurden dann durch ein Kommerzialisierungsprogramm monetarisiert. Dieser Verstoß wurde als bekannt DataSpii-Vorfall, und es gibt Aufschluss darüber, inwieweit bösartige Browsererweiterungen die Privatsphäre der Benutzer und die Sicherheit von Unternehmensdaten gefährden können.

In den letzten Jahren ist das Risiko bösartiger Browsererweiterungen erheblich gestiegen. Schädliche Browsererweiterungen können sensible Daten sammeln, Online-Aktivitäten überwachen, unerwünschte Werbung einschleusen, Datenverkehr auf bösartige Websites umleiten und sogar die Kontrolle über den Browser eines Benutzers übernehmen. Dies gefährdet die Privatsphäre, Sicherheit und das gesamte Online-Erlebnis von Benutzern und Organisationen. 

Allerdings mangelt es derzeit an der traditionellen Endpunkt- und Netzwerksicherheit, wenn es darum geht, böswillige Aktivitäten, die über Browsererweiterungen ausgeführt werden, zu erkennen und zu verhindern. In diesem Blogbeitrag enthüllen wir, wie bösartige Erweiterungen in Geräte eindringen und was Unternehmen dagegen tun können ihre Netzwerke stärken.

Dieser Blogbeitrag basiert auf dem Bericht „Unveiling the Threat of Malicious Browser Extensions“, den Sie vollständig lesen können hier.

Arten bösartiger Erweiterungen

Schädliche Erweiterungen stellen entweder ein aktives oder potenzielles Risiko dar, wenn sie in einem Browser installiert werden. Es gibt drei Arten bösartiger Erweiterungen:

  • Zunächst böswillige Erweiterung – Eine Erweiterung, die von einem Gegner für einen böswilligen Zweck von Grund auf erstellt wurde.
  • Kompromittierte Erweiterung – Eine ursprünglich legitime Erweiterung, die nach dem direkten Kauf der Erweiterung oder der Kompromittierung des Entwicklerkontos der Erweiterung in den Besitz eines Angreifers gelangte.
  • Riskante Erweiterung – Eine legitime Erweiterung mit übermäßigen Berechtigungen.

So werden Browsererweiterungen installiert

Es gibt fünf Methoden, mit denen sich eine bösartige Erweiterung im Browser eines Opfers einnistet:

  1. Administrator – Zentrale Verteilung der Erweiterungen durch Netzwerkadministratoren innerhalb des Unternehmens. Hierbei handelt es sich um Erweiterungen mit ausdrücklicher organisatorischer Genehmigung.
  2. Normal – Von offiziellen Browser-Stores heruntergeladene Erweiterungen. Benutzer installieren Erweiterungen, indem sie den Eintrag einer Erweiterung im Web Store des Browsers aufrufen. 
  3. Entwicklung – Erweiterungen, die von den lokalen Computern der Mitarbeiter geladen werden.
  4. Seitenbelastung – Erweiterungen, die von Drittanbieteranwendungen wie Adobe oder anderen Softwareanbietern installiert werden. 
  5. Software-Update – Aktualisieren einer Erweiterung, die von einem Angreifer kompromittiert wurde, nachdem sie zum ersten Mal installiert und für legitime Zwecke verwendet wurde.

Umfangreiche Browsererweiterungsberechtigungen

Bei Browsererweiterungsberechtigungen handelt es sich um eine Reihe von Regeln, die vorschreiben, welche Aktionen eine Erweiterung in Ihrem Browser ausführen darf. Berechtigungen werden angefordert und gewährt, wenn Benutzer eine Erweiterung installieren. Sie können je nach der beabsichtigten Funktionalität der Erweiterung stark variieren.

Berechtigungen sind in der Regel der Grundstein für erweiterungsbasierte Cyberangriffe. Sobald die Erweiterung installiert ist, können die Berechtigungen zur Durchführung böswilliger Operationen genutzt werden.

Zu den riskanten Berechtigungen gehören:

  • Cookies
  • Debugger
  • webRequest
  • Zwischenablage
  • Inhaltseinstellungen
  • desktopCaptureֿ\pageCapture
  • Geschichte
  • Datenschutz
  • Proxy
  • tabCapture
  • https://*/*

Weitere Informationen dazu, wie diese Berechtigungen es Angreifern ermöglichen, Geräte zu infiltrieren und auf sensible Daten zuzugreifen, finden Sie unter lesen Sie den gesamten Bericht.

Wie bösartige Browsererweiterungen angreifen

Sobald die Erweiterungen installiert und Berechtigungen erteilt wurden, können sie weiterhin in die Systeme der Organisation eindringen. Der vollständige Angriff umfasst die folgenden Schritte:

  1. Der Angreifer erstellt die Erweiterung oder kauft eine bestehende und fügt ihr Schadcode hinzu.
  2. Die Erweiterung wird in einen Webshop oder auf den Server des Gegners hochgeladen.
  3. Benutzer werden dazu verleitet, die Erweiterung durch Social Engineering oder durch Querladen der Erweiterung im Hintergrund zu installieren.
  4. Nach der Installation fordert die Erweiterung eine Reihe von Berechtigungen an, beispielsweise Zugriff auf den Browserverlauf, persönliche Daten und mehr.
  5. Mit erteilten Berechtigungen kann der Angreifer über die Erweiterung mit der Ausführung seiner böswilligen Aktivitäten beginnen. Nehmen Sie beispielsweise Passwörter, Cookies und Zertifikate, die im Browser gespeichert sind.
  6. Angreifer können sich in den vorhandenen Datenverkehr einmischen, indem sie über die Protokolle der OSI-Anwendungsschicht kommunizieren.
  7. Angreifer können die von der Erweiterung erfassten oder extrahierten Daten über verschiedene Kanäle exfiltrieren. Sie bevorzugen oft die Verwendung von Standard-Webprotokollen, da es häufig an der Überprüfung des ausgehenden Datenverkehrs durch Firewalls/Proxys mangelt.
  8. Es gibt zahlreiche Möglichkeiten, wie ein bösartiger, erweiterungsbasierter Angriff Schaden anrichten kann, abhängig von den Absichten des auslösenden Bedrohungsakteurs. Diese beinhalten:
  • Böswilliger Zugriff auf Unternehmensressourcen mithilfe der gesammelten Anmeldeinformationen. 
  • Erhöhte Gefährdung von Unternehmen durch Angriffe durch den Verkauf kompromittierter Daten im Dark Web.
  • Gezielte Phishing-Angriffe basierend auf den gesammelten Daten der Benutzer. 
  • Verbraucht Computerleistung für Krypto-Mining.
  • Einschleusen von Adware und Malvertising, um Benutzer auf bösartige Websites umzuleiten.

Schadensbegrenzung: Was können Sie tun?

Chrome deinstalliert nicht automatisch Erweiterungen, die von ihren Entwicklern nicht veröffentlicht wurden oder aus dem Store entfernt wurden, selbst wenn sie als Malware markiert sind. Stattdessen liegt es in der Verantwortung der Benutzer, die Erweiterung zu entfernen. Umso wichtiger ist es, erweiterte Sicherheitskontrollen und -praktiken zu implementieren, um den Browser von vornherein vor bösartigen Erweiterungen zu schützen.

Zu den Best Practices gehören:

    1. Von vertrauenswürdigen Quellen herunterladen: Installieren Sie Erweiterungen nur aus offiziellen Browser-Erweiterungs-Stores, z. B. dem Chrome Web Store für Google Chrome oder der Firefox-Add-ons-Site für Mozilla Firefox.
    2. Sehen Sie, wann die Erweiterung zuletzt aktualisiert wurde: Regelmäßige Updates sind oft ein Indikator für einen verantwortungsvollen Entwickler, der Schwachstellen behebt und die Kompatibilität mit den neuesten Browserversionen gewährleistet. Veraltete Erweiterungen verfügen möglicherweise nicht über wichtige Sicherheitspatches und stellen möglicherweise ein höheres Risiko für Ausnutzung dar.
    3. Sehen Sie sich den Abschnitt „Datenschutzpraktiken“ und die Website der Erweiterung an: Legitime Erweiterungen bieten in der Regel klare und prägnante Datenschutzrichtlinien, die detailliert beschreiben, wie Benutzerdaten erfasst, verwendet und geschützt werden. Das Fehlen solcher Informationen oder vage Richtlinien können ein Warnsignal sein und auf einen möglichen Missbrauch von Benutzerdaten hinweisen.
    4. Erforschen Sie die Erweiterung: Erweiterungen mit einer hohen Gesamtanzahl an Downloads, positiven Rezensionen und hohen Bewertungen sind mit größerer Wahrscheinlichkeit legitim und sicher in der Verwendung. Seien Sie vorsichtig bei Erweiterungen mit minimalem Benutzerengagement, wenigen Rezensionen oder niedrigen Bewertungen, da ihre Zuverlässigkeit fraglich sein könnte.
    5. Überprüfen Sie die Berechtigungen: Seien Sie vorsichtig, wenn eine Erweiterung unnötige oder übermäßige Berechtigungen anfordert, die scheinbar nichts mit ihrer Funktionalität zu tun haben.
    6. Verwenden Sie Sicherheitssoftware: Installieren Sie seriöse Antiviren- und Anti-Malware-Software, die dabei helfen kann, bösartige Erweiterungen zu erkennen und zu verhindern.
    7. Seien Sie skeptisch: Wenn das Angebot einer Erweiterung zu gut erscheint, um wahr zu sein, oder behauptet, illegale Inhalte kostenlos anzubieten, ist sie wahrscheinlich böswillig.
    8. Überprüfen Sie regelmäßig Erweiterungen: Überprüfen Sie die von Ihnen installierten Erweiterungen und entfernen Sie alle Erweiterungen, die Sie nicht mehr verwenden oder von denen Sie vermuten, dass sie bösartig sind.
    9. Verwenden Sie eine Browser-Sicherheitsplattform: Eine Browser-Sicherheitsplattform wie LayerX scannt die Browser Ihrer Mitarbeiter, um installierte schädliche Erweiterungen zu entdecken, die entfernt werden sollten. Darüber hinaus wird das Verhalten bestehender Browsererweiterungen analysiert, um zu verhindern, dass diese auf sensible Browserdaten zugreifen. Schließlich verhindert die Plattform, dass Angreifer Zugriff auf die zahlreichen Anmeldedaten erhalten, die in Ihrem Browser gespeichert sind, um eine MFA-Umgehung und eine mögliche Kontoübernahme zu verhindern

Weitere Einzelheiten zu den einzelnen Schadensbegrenzungsstrategien finden Sie unter lesen Sie den gesamten Bericht.

Ihre nächsten Schritte

Schädliche Erweiterungen stellen für Unternehmen aufgrund ihrer weit verbreiteten Verwendung, wenngleich ihrer Überwachungsmöglichkeiten, ein wachsendes Problem dar. Schädliche Browsererweiterungen können sensible Daten sammeln und es Angreifern ermöglichen, in Unternehmen einzudringen und so das gesamte Unternehmen zu gefährden.

Durch Sorgfalt und den Einsatz fortschrittlicher Sicherheitspraktiken kann sich das Unternehmen vor diesem beliebten Angriffsvektor schützen. Ausprobieren LayerX, die Browser-Sicherheitsplattform, die über den vorhandenen Stack hinausgeht und die Aktivitäten bösartiger Erweiterungen identifizieren und blockieren kann, bitte hier klicken.