2lttgamingroom – shutterstock.com
Ein Sicherheitsforscher mit dem Pseudonym „Q Continuum“ hat 287 Chrome-Erweiterungen entdeckt, die den Browserverlauf exfiltrieren. „Die Akteure hinter den Lecks sind vielfältig: Similarweb, Curly Doggo, Offidocs, chinesische Akteure, viele kleinere, unbekannte Datenbroker sowie ein mysteriöses Unternehmen namens ‚Big Star Labs‘, das offenbar ein Ableger von Similarweb ist“, heißt es im Forschungsbericht.
Für die Analyse entwickelte der Forscher eine automatisierte Pipeline, die Chrome-Instanzen startete, Erweiterungen installierte, eine vordefinierte Reihe von Websites besuchte und ausgehende Kommunikationen erfasste.
Er warnte, dass eine solche Datenerfassung Unternehmensspionage ermöglichen könnte, indem sie interne Unternehmens-URLs offenlegt, auf die Mitarbeiter zugreifen. In Fällen, in denen Erweiterungen auch Cookies erfassen, könnten sie das Sammeln von Anmeldedaten erleichtern, indem sie Angreifern Details zu aktiven Websitzungen liefern.
VPNs, Produktivitäts-Tools und Shopping-Add-ons
Die Untersuchung identifizierte zahlreiche weit verbreitete Erweiterungen mit riskantem Verhalten in Kategorien wie VPN-/Proxy-Dienste, Coupon-Finder, PDF-Tools und Browser-Dienstprogramme. Viele davon haben Hunderttausende oder Millionen von Nutzern.
Bei einigen dieser Erweiterungen handelt es sich um Pop-up-Blocker für Chrome. Darunter Stylish, BlockSite block Websites, Stay Focused und SimilarWeb. Website Traffic und SEO Checker, WOT: Website Security und Safety Checker, Smarty, Video Ad Blocker Plus für YouTube, Knowee AI und CrxMouse: Mouse Gestures.
Dem Forscher zufolge forderten mehrere der Erweiterungen umfassende Host-Berechtigungen (webseitenübergreifend) an. Dadurch konnten sie Navigationsereignisse und Seitenaktivitäten domänenübergreifend beobachten. „Wenn eine Erweiterung nur den Seitentitel liest oder CSS einfügt, sollte ihr Netzwerk-Fußabdruck unabhängig von der Länge der von uns besuchten URL gleich bleiben“, erklärt er die Logik hinter ihrer Kennzeichnung in seinem Beitrag.
„Wenn der ausgehende Datenverkehr linear mit der URL-Länge wächst, ist die Wahrscheinlichkeit hoch, dass die Erweiterung die URL selbst (oder die gesamte HTTP-Anfrage) an einen Remote-Server sendet“, ergänzt der Experte.
Verschlüsselte Exfiltration erschwerte die Erkennung
Zudem weist er darauf hin, dass mehrere dieser Erweiterungen versuchten, die Art der übertragenen Daten zu verbergen. Demnach wurden ausgehende Nutzdaten häufig vor der Übertragung verschlüsselt oder codiert, was eine automatisierte Überprüfung verhinderte.
„Die manuelle Überprüfung des erfassten Datenverkehrs ergab eine Vielzahl von Verschleierungstechniken: Base64, ROT47, LZ-String-Komprimierung und vollständige AES-256-Verschlüsselung, verpackt in RSA-OAEP“, erläutert der Forscher in einem weiteren Bericht. „Die Entschlüsselung dieser Nutzdaten ergab, dass rohe Google-Such-URLs, Seitenverweise, Benutzer-IDs und Zeitstempel an ein Netzwerk aus proprietären Domains und Endpunkten von Cloud-Anbietern gesendet wurden.
Die Testumgebung des Forschers führte Chrome in einem Docker-Container aus, sodass jede Erweiterung isoliert und konsistent analysiert werden konnte.
Der Security-Spezialist räumte allerdings ein, dass wahrscheinlich nicht alle Erweiterungen, die den Browserverlauf preisgeben, böswillige Absichten haben. Er stellte zudem klar, dass einige Fehlalarme manuell aus den Protokollen der von den automatisierten Scannern markierten Erweiterungen entfernt werden mussten. „Einige der Erweiterungen sind möglicherweise harmlos und müssen den Browserverlauf für Funktionen wie beispielsweise ‚Avast Online Security & Privacy‘ erfassen.“
Der Bericht zur Offenlegung enthielt eine Liste mit URLs aus dem Chrome Web Store und den Akteuren hinter diesen Erweiterungen als Referenz. (jm)