Beliebte Chrome-Erweiterungen verlieren Daten über unverschlüsselte Verbindungen
Eine kürzlich durchgeführte Untersuchung hat ergeben, dass mehrere weit verbreitete Google Chrome-Erweiterungen vertrauliche Benutzerdaten über unverschlüsselte HTTP-Verbindungen übertragen und damit Millionen von Benutzern ernsthaften Datenschutz- und Sicherheitsrisiken aussetzen.
Die von Cybersicherheitsforschern veröffentlichten und in einem Blogbeitrag von Symantec ausführlich beschriebenen Ergebnisse zeigen, wie Erweiterungen wie:
PI-Rang (ID: ccgdboldgdlngcgfdolahmiilojmfndl)
Browsec VPN (ID: omghfjlpggmjjaagoclmmobgdodcjboh )
MSN Neuer Tab (ID: lklfbkdigihjaaeamncibechhgalldgl)
SEMRush-Rang ( ID: idbhoeaiokcojcgappfigpifhpkjgmab )
DualSafe Passwort-Manager und digitaler Tresor (ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc)
Darüber hinaus gibt es noch weitere Erweiterungen, die Benutzerdaten auf eine Weise verarbeiten, die Lauschangriffen, Profilerstellung und anderen Angriffen Tür und Tor öffnet.
Obwohl diese Erweiterungen legitim sind und Benutzern dabei helfen sollen, Web-Rankings zu überwachen, Passwörter zu verwalten oder ihr Browser-Erlebnis zu verbessern, stellen sie hinter den Kulissen Netzwerkanfragen ohne Verschlüsselung, sodass jeder im selben Netzwerk genau sehen kann, was gesendet wird.
In einigen Fällen umfasst dies Details wie die von einem Benutzer besuchten Domänen, Betriebssysteminformationen, eindeutige Computer-IDs und Telemetriedaten. Noch beunruhigender ist, dass mehrere Erweiterungen auch fest codierte API-Schlüssel , Geheimnisse und Token in ihrem Quellcode enthalten – wertvolle Informationen, die Angreifer leicht ausnutzen können.
Wenn Erweiterungen Daten über HTTP statt HTTPS übertragen, werden die Informationen im Klartext über das Netzwerk übertragen. In einem öffentlichen WLAN-Netzwerk kann ein böswilliger Akteur diese Daten beispielsweise problemlos abfangen. Schlimmer noch: Er kann sie während der Übertragung verändern.
Dies öffnet Angriffen Tür und Tor, die weit über Spionage hinausgehen. Laut einem Blogbeitrag von Symantec werden im Fall von Browsec VPN, einer beliebten datenschutzorientierten Erweiterung mit über sechs Millionen Nutzern, durch die Verwendung eines HTTP-Endpunkts während des Deinstallationsprozesses Benutzerkennungen und Nutzungsstatistiken unverschlüsselt gesendet. Die Konfiguration der Erweiterung ermöglicht die Verbindung mit unsicheren Websites, was die Angriffsfläche zusätzlich vergrößert.
Andere Erweiterungen weisen ähnliche Probleme auf. SEMRush Rank und PI Rank, beide zur Anzeige der Website-Popularität entwickelt, senden vollständige URLs der besuchten Seiten über HTTP an Server von Drittanbietern. Dies erleichtert es Netzwerkbeobachtern, detaillierte Protokolle des Surfverhaltens eines Benutzers zu erstellen.
MSN New Tab und MSN Homepage mit Hunderttausenden von Nutzern übertragen Gerätekennungen und andere Gerätedetails. Diese Kennungen bleiben über einen längeren Zeitraum stabil, sodass Angreifer mehrere Sitzungen verknüpfen und Profile erstellen können, die über alle Browseraktivitäten hinweg bestehen bleiben.
Sogar der DualSafe Password Manager, der naturgemäß sensible Informationen verarbeitet, wurde beim Senden von Telemetriedaten über HTTP erwischt. Zwar wurden keine Passwörter geleakt, doch die Tatsache, dass Teile der Erweiterung unverschlüsselten Datenverkehr verwenden, gibt Anlass zu Bedenken hinsichtlich des Gesamtdesigns.
Patrick Tiquet , Vice President für Sicherheit und Architektur bei Keeper Security, kommentierte dies wie folgt: „ Dieser Vorfall verdeutlicht eine kritische Sicherheitslücke bei Erweiterungen – selbst beliebte Chrome-Erweiterungen können Nutzer gefährden, wenn die Entwickler an der falschen Stelle sparen. Die Datenübertragung über unverschlüsseltes HTTP und die Hardcoding-Verschlüsselung von Geheimnissen setzen Nutzer Profiling, Phishing und Angriffen durch Angreifer aus – insbesondere in ungesicherten Netzwerken. “
Er warnte vor Konsequenzen für ahnungslose Benutzer und riet: „ Unternehmen sollten sofort Maßnahmen ergreifen, indem sie strenge Kontrollen bei der Nutzung von Browsererweiterungen durchsetzen, Geheimnisse sicher verwalten und auf verdächtiges Verhalten an allen Endpunkten achten. “
Obwohl keine der Erweiterungen Passwörter oder Finanzdaten direkt preisgibt, ist die Offenlegung von Gerätekennungen, Surfgewohnheiten und Telemetriedaten alles andere als harmlos. Angreifer können diese Daten nutzen, um Nutzer über Websites hinweg zu verfolgen, gezielte Phishing-Kampagnen durchzuführen oder Gerätetelemetriedaten für böswillige Zwecke zu imitieren.
Obwohl es sich nur um eine theoretische Untersuchung handelt, haben die neuesten Erkenntnisse von NordVPN mehr als 94 Milliarden Browser-Cookies im Darknet entdeckt. In Kombination mit den von Symantec aufgezeigten Datenlecks ist das Schadenspotenzial erheblich.
Entwickler, die fest codierte API-Schlüssel oder Geheimnisse in ihre Erweiterungen integrieren, erhöhen das Risiko zusätzlich. Erlangt ein Angreifer Zugriff auf diese Anmeldeinformationen, kann er sie missbrauchen, um sich als Erweiterung auszugeben, gefälschte Daten zu versenden oder sogar die Servicenutzung zu erhöhen. Dies kann zu finanziellen Kosten oder Kontosperrungen für die Entwickler führen.
Symantec hat die betroffenen Entwickler kontaktiert, und nur der DualSafe Password Manager hat das Problem behoben. Benutzern, die eine der betroffenen Erweiterungen installiert haben, wird jedoch empfohlen, diese zu deinstallieren, bis die Entwickler die Probleme behoben haben. Selbst beliebte und gut bewertete Erweiterungen können unsichere Designentscheidungen enthalten, die jahrelang unbemerkt bleiben.
Hckread.com empfiehlt, die von einer Erweiterung angeforderten Berechtigungen zu überprüfen, unbekannte Herausgeber zu meiden und eine vertrauenswürdige Sicherheitslösung zu verwenden. Vor allem sollte jedes Tool, das Datenschutz oder Sicherheit verspricht, sorgfältig auf den Umgang mit Ihren Daten geprüft werden.
HackRead
