Augen auf vor der Installation: Sicherheitsrisiko Browser-Erweiterung

Browser-Erweiterungen benötigen bestimmte Berechtigungen

[datensicherheit.de, 27.09.2023] Von Übersetzungs-Tools über Werbeblocker bis hin zu Passwort-Managern – die Nutzung von Browser-Erweiterungen zur Anpassung und Verbesserung des Online-Erlebnisses ist heutzutage offensichtlich weit verbreitet. Diese kleinen Programme sollen zahlreiche Funktionen bieten, um das Surfen im Internet komfortabler und effizienter zu gestalten. Doch Patrycja Schrenk, Geschäftsführerin der PSW GROUP, rät zur Vorsicht: „Browser-Erweiterungen bergen auch ein Sicherheitsrisiko – insbesondere dann, wenn sie nicht sorgfältig überprüft oder aus nicht vertrauenswürdigen Quellen heruntergeladen werden!“ Damit Browser-Erweiterungen ordnungsgemäß funktionieren, müssten sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und Ändern von Inhalten von Webseiten. „Allerdings bergen umfangreiche Berechtigungen immer auch ein Sicherheitsrisiko, da sie das Potenzial für Missbrauch erhöhen“, warnt Schrenk. Cyber-Kriminelle könnten nämlich scheinbar harmlose Erweiterungen in echte Bedrohungen verwandeln – „mit denen sie dann zum Beispiel sensible Benutzerdaten wie Passwörter oder Zahlungsinformationen ausspionieren, auf gefälschte Websites umleiten und Anmeldeinformationen stehlen, unerwünschte Adware verbreiten und sogar die Opfer-Rechner mit Malware infizieren“.

Foto: PSW GROUP

Patrycja Schrenk: Je weniger Browser-Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen!

Ein Sortiment verschiedener schädlicher Browser-Erweiterungen

Tatsächlich existiere eine ganze Reihe verschiedener schädlicher Browser-Erweiterungen, allen voran betrügerische „WebSearch“-Erweiterungen für „Office“-Dateien. Diese Erweiterungen geben demnach vor, nützliche Tools für „Office“-Dateien zu sein, manipulierten jedoch heimlich die Browser-Suche und fügten Affiliate-Links zu Drittanbieter-Ressourcen ein.

Schrenk berichtet: „Viele ,WebSearch’-Erweiterungen sind inzwischen für ihre betrügerischen Aktivitäten bekannt. Nach ihrer Installation ersetzen sie die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgen Affiliate-Links zu Drittanbieter-Ressourcen wie ,AliExpress’ oder ,Farfetch’.“ Zudem änderten sie auch die Standard-Suchmaschine in „search.myway“. Dies ermögliche es den Cyber-Kriminellen, die Suchanfragen ihrer Opfer zu überwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu überhäufen oder sie auf unerwünschte Websites umzuleiten.

Änderung der Standard-Suchmaschine des Browsers

Bei Cyber-Kriminellen ebenfalls beliebt seien die Adware-Erweiterung der „DealPly“-Familie. Diese Adware-Erweiterungen würden oft mit raubkopierten Inhalten verbreitet und ersetzten ebenfalls unbemerkt die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enthalte. Zusätzlich änderten sie die Standard-Suchmaschine des Browsers und verfolgten die Suchanfragen der Nutzer, um personalisierte Werbeanzeigen einzublenden.

„Hauptziel dieser betrügerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyber-Kriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern“, so Schrenk.

Browser-Erweiterungen der AddScript-Familie missbrauchen sogar legitime Technologien und Praktiken

Mit der Erweiterungen der „AddScript“-Familie missbrauchten Cyber-Kriminelle sogar legitime Technologien und Praktiken für ihre illegalen Zwecke: Diese Erweiterungen präsentierten sich nämlich als nützliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizierten aber das Gerät ihres Opfers mit Schadsoftware. „Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um künstlich die Aufrufzahlen zu erhöhen.“ Dies erzeuge Einnahmen für die Angreifer, da einige Website-Anbieter Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisteten.

Schrenk warnt auch zugleich vor dem Cookie-Dieb „FB-Stealer“: „Mit Hilfe dieser schädlichen Erweiterungen stehlen Cyber-Kriminelle Sitzungscookies von Nutzenden des Sozialen Netzwerks ,facebook’, womit sie ohne jegliche Passwortabfrage Zugriff auf das ,facebook’-Konto ihres Opfers erhalten. Mit diesem Zugang können die Kriminellen dann verschiedene böswillige Aktivitäten ausführen, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausführen.“ Die „FB-Stealer“-Erweiterung gelange häufig zusammen mit dem Trojaner „NullMixer“ auf das Gerät des Opfers, welches sich „NullMixer“ beim Download gehackter Software-Installer einfange.

FriarFox – Firefox-Browser-Plugin seit mehreren Monaten aktiv

Seit mehreren Monaten aktiv sei auch das „Firefox“-Browser-Plugin „FriarFox“, welches Angreifern den Zugriff auf die „Gmail“-Konten ihrer Opfer gewähre. Verteilt werde die Erweiterung durch Phishing-E-Mails mit einem präparierten Link, welcher zu einer gefälschten Landing-Page mit einem vermeintlichen „Adobe Flash Player Update“ führe. Sobald das Opfer den Link anklickt, werden laut Schrenk „JavaScript“-Dateien ausgeführt, welche prüften, ob bestimmte Kriterien erfüllt sind – etwa, ob der Link mittels „Firefox“ geöffnet wurde und ob eine aktive User-Session in „Gmail“ ausgeführt wird. Ist dies der Fall, werde die „FireFox“-Browser-Erweiterung durch eine „XPI“-Datei installiert, welche den Cyber-Kriminellen nahezu vollständige Kontrolle über die E-Mail Konten ihrer Opfer gewähre.

Nutzer seien indes solchen schadhaften Browser-Erweiterungen nicht schutzlos ausgeliefert. Allerdings sollten diese stets sorgfältig ausgewählt und ausschließlich aus vertrauenswürdigen Quellen, beispielsweise aus den offiziellen WebStores der Browser, bezogen werden. „Auch wenn es keine 100%-ige Sicherheitsgarantie ist, so ist das Risiko, dort an eine bösartige oder unsichere Erweiterung zu geraten, definitiv geringer“, erläutert Schrenk.

Browser-Erweiterungen nur für deren Funktion unbedingt erforderliche Berechtigungen erteilen!

Wer seinen Browser-Erweiterungen zudem nur diejenigen Berechtigungen gewährt, welche für deren Funktion unbedingt erforderlich sind und zusätzlich sicherstellt, dass die Browser-Erweiterungen regelmäßig aktualisiert werden – zum Beispiel durch das Aktivieren der automatischen Update-Funktion – habe weitere wichtige Schutzmaßnahmen ergriffen. Schrenks Tipp: „Es lohnt sich auch, die Bewertungen und Erfahrungsberichte anderer Nutzenden zu lesen, bevor eine Erweiterung installiert wird. Positive Bewertungen und hohe Installationszahlen sind ein guter Indikator für die Vertrauenswürdigkeit einer Erweiterung.“

Schrenk selbst installiert nach eigenen Angaben außerdem auch „nur Erweiterungen, die ich wirklich benötige“ – und deaktiviert oder entfernt Erweiterungen, welche sie nicht nutzt. „Und das rate ich auch jedem anderen, denn je weniger Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen.“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 09.08.2023
Bedrohungslage / Browser-Erweiterungen, Cookies & Co.: Ein unbekanntes Risiko