[datensicherheit.de, 11.03.2026] Laut einer aktuellen Stellungnahme von Panda Security deuten neue Untersuchungen darauf hin, dass einige beliebte „Chrome“-Browser-Erweiterungen heimlich sensible Nutzerdaten sammeln könnten – darunter Browser-Verlauf, Inhalte der Zwischenablage und sogar Tastatureingaben – und diese mit Drittunternehmen teilen.

Abbildung: Panda Security

Panda Security warnt: Einige beliebte „Chrome“-Browser-Erweiterungen könnten heimlich sensible Nutzerdaten sammeln und weiterleiten

67% KI-basierter „Chrome“-Erweiterungen sammeln Nutzerdaten

Eine aktuelle Untersuchung des Sicherheitsforschers „Q Continuum“ hat demnach 287 „Chrome“-Erweiterungen mit insgesamt 37,4 Millionen Installationen identifiziert, welche aktiv Nutzerdaten an mehr als 30 Datenempfänger weiterleiteten.

• Eine separate Studie habe außerdem ergeben, dass 67 Prozent der KI-basierten „Chrome“-Erweiterungen Nutzerdaten sammelten, wobei 41 Prozent personenbezogene Daten (persönlich identifizierbare Informationen / PII) wie Passwörter, Finanzinformationen oder persönliche Kommunikation erfassten.

Da Browser-Erweiterungen häufig weitreichende Berechtigungen verlangten – etwa Zugriff auf alle besuchten Webseiten – könnten sie möglicherweise kopierte Inhalte lesen, das Surfverhalten überwachen oder Code in Webseiten einfügen – „ohne dass Nutzer sich des vollen Umfangs dieser Zugriffe bewusst sind“.

Browser-Erweiterungen wie etwa bei „Chrome“ längst Teil unseres digitalen Alltags

Cybersicherheitsexperten warnen, dass Erweiterungen, die als „kostenlose Tools“ vermarktet werden, im Hintergrund möglicherweise Nutzerdaten monetarisieren. So erklärt Hervé Lambert, „Global Consumer Operations Manager“ bei Panda Security, dass Browser-Erweiterungen längst Teil unseres digitalen Alltags geworden seien.

• Er gibt indes zu bedenken: „Viele Nutzer wissen jedoch nicht, wie viel Zugriff sie diesen ,Tools’ bei der Installation gewähren. In manchen Fällen können Erweiterungen Browser-Verlauf, Zwischenablage-Inhalte oder sogar Zugangsdaten sammeln. Der sicherste Ansatz ist, installierte Erweiterungen regelmäßig zu überprüfen und alles zu entfernen, dem man nicht vollständig vertraut!“

Um Risiken zu reduzieren, sollten Nutzer ihre installierten Erweiterungen regelmäßig überprüfen, „Tools“ mit übermäßigen Berechtigungen vermeiden und ihre Sicherheitssoftware aktuell halten, um verdächtige Aktivitäten zu erkennen.

Weitere Informationen zum Thema:

panda
However complex, we make it simple.

panda, Panda Security, 27.02.2026
Threat Prevention: Are Your Chrome Extensions Spying on You? / Chrome web browser extensions offer a range of useful tools to help manage your tabs, sharpen your writing, track deals online, and more. They seem…

datensicherheit.de, 27.09.2023
Augen auf vor der Installation: Sicherheitsrisiko Browser-Erweiterung / Browser-Erweiterungen benötigen bestimmte Berechtigungen

[datensicherheit.de, 19.12.2020] Sicherheitsexperten für Threat Intelligence bei Avast identifizieren Malware im Zusammenhang mit einigen der beliebtesten Plattformen, die sich in mindestens 28 Browser-Erweiterungen von Drittanbietern für Google Chrome und Microsoft Edge versteckt. Die Schadsoftware kann den Datenverkehr der Nutzer auf Werbung und Phishing-Seiten umleiten sowie persönliche Daten wie Geburtsdatum, E-Mail-Adressen und Geräteinformationen extrahieren. Laut den Download-Zahlen in den App-Stores könnten weltweit bereits etwa drei Millionen Anwender betroffen sein.

Malware durch Browser-Erweiterungen im Zusammenhang mit einigen der beliebtesten Plattformen

Zu den Erweiterungen, die Nutzern helfen, Videos von Plattformen herunterzuladen, gehören Video Downloader for Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock und andere Browser-Erweiterungen für Google Chrome sowie einige Add-ons für Microsoft Edge. Die Sicherheitsexperten konnten in den Erweiterungen, die auf JavaScript basieren, bösartige Codezeilen identifizieren. Diese ermöglichen den Add-ons, weitere Malware auf den PC eines Benutzers herunterzuladen.

Umleitung auf andere Websites

Anwender haben auch berichtet, dass diese Add-ons ihr Interneterlebnis manipulieren und sie auf andere Websites umleiten. Jedes Mal, wenn ein Benutzer auf einen Link klickt, senden die Erweiterungen Informationen über den Klick an den Kontrollserver des Angreifers. Dieser kann einen Befehl geben, das Opfer vom eigentlichen Ziel zu einer gekaperten URL umzuleiten, ehe die erwartete und gewünschte Website erscheint.

Die Privatsphäre des Benutzers wird durch dieses Verfahren beeinträchtigt, weil alle Klicks protokolliert und an diese zwischengeschalteten Websites von Drittanbietern weitergegeben werden. Die Akteure sammeln auch die Geburtsdaten, E-Mail-Adressen und Geräteinformationen des Nutzers. Die betroffenen Anwenderinformationen schließen die Zeit der ersten und letzten Anmeldung, den Gerätenamen, das Betriebssystem, den verwendeten Browser sowie seine Versionsnummer und sogar die IP-Adressen ein. Mit diesen Informationen könnten böswillige Angreifer den ungefähren geografischen Standortverlauf des Benutzers ermitteln.

Die Forscher von Avast gehen davon aus, dass die Malware darauf abzielt, den Datenverkehr selbst zu monetarisieren. Für jede Weiterleitung zu einer fremden Domain erhalten die Cyberkriminellen vermutlich eine Zahlung. Dennoch hat die Erweiterung auch die grundlegende Möglichkeit, die Nutzer auf Werbung oder Phishing-Seiten umzuleiten.

„Unsere aktuelle Hypothese ist, dass die Erweiterungen entweder absichtlich mit eingebauter Malware erstellt wurden oder der Entwickler darauf gewartet hat, dass die Erweiterungen populär werden und die Malware dann mit einem Update ausgeliefert hat. Es wäre auch möglich, dass der Autor die ursprünglichen Erweiterungen verkauft hat und erst der Käufer für die Malware verantwortlich ist“, berichtet Jan Rubín, Malware Researcher bei Avast.

Das Team für Threat Intelligence beobachtet die Bedrohung bereits seit November 2020, geht aber davon aus, dass sie schon seit Jahren unbemerkt aktiv sein könnte. Es gibt Berichte im Chrome Web Store, die Link-Hijacking schon im Dezember 2018 andeuten. Rubín ergänzt: „Die Hintertüren in den Erweiterungen sind gut versteckt und beginnen erst Tage nach der Installation mit ihrem bösartigen Verhalten. Das erschwert es jeder Sicherheitssoftware, sie zu entdecken.”

Malware schwer zu entdecken

Da die Malware die Fähigkeit hat, sich zu verstecken, kann sie nur schwer entdeckt werden. Jan Vojtěšek, Malware-Forscher bei Avast, erklärt: „Der Virus erkennt, ob der Benutzer eine seiner Domains googelt oder ob er beispielsweise ein Webentwickler ist. In diesem Fall führt sie keine bösartigen Aktivitäten in seinem Browser aus. Damit vermeidet die Browser-Erweiterung, Menschen zu infizieren, die Erfahrung in der Webentwicklung haben. Denn diese können leichter herausfinden, was die Erweiterungen im Hintergrund tun.“

Aktuell sind einige der infizierten Erweiterungen noch zum Download verfügbar. Avast hat sie allerdings bereits den Teams bei Microsoft und Google Chrome gemeldet und sowohl Microsoft als auch Google bestätigten, dass sie sich derzeit mit den betroffenen Add-ons befassen. In der Zwischenzeit empfiehlt Avast den Anwendern, die Erweiterungen vorerst zu deaktivieren oder zu deinstallieren und dann nach der Malware zu suchen sowie diese zu entfernen, bis das Problem behoben wurde.

Liste der betroffenen Browser-Erweiterungen:

• Direct Message for Instagram (entfernt)
• Direct Message for Instagram
• DM for Instagram (entfernt)
• Invisible mode for Instagram Direct Message (entfernt)
• Downloader for Instagram (entfernt)
• Instagram Download Video & Image
• App Phone for Instagram (entfernt)
• App Phone for Instagram
• Stories for Instagram (entfernt)
• Universal Video Downloader
• Universal Video Downloader (entfernt)
• Video Downloader for FaceBook (entfernt)
• Video Downloader for FaceBook
• Vimeo Video Downloader (entfernt)
• Vimeo Video Downloader
• Volume Controller
• Zoomer for Instagram and FaceBook (entfernt)
• VK UnBlock. Works fast. (entfernt)
• Odnoklassniki UnBlock. Works quickly (entfernt)
• Upload photo to Instagram (entfernt)
• Upload photo to Instagram
• Spotify Music Downloader (entfernt)Stories for Instagram
• Pretty Kitty, The Cat Pet (entfernt)
• Video Downloader for YouTube
• SoundCloud Music Downloader (entfernt)
• The New York Times News (entfernt)
• Instagram App with Direct Message DM

Weitere Informationen zum Thema:

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

Avast
Website

[datensicherheit.de, 01.08.2013] Trend Micro warnt Anwender der beliebten Browser „Google Chrome“ und „Mozilla Firefox“ vor neuen bösartigen Erweiterungen. Diese werden aktuell vor allem über Facebook, Google+ und Twitter verbreitet. Die Köder tarnen sich dabei als Video-Player-Update. Das Besondere an dieser Tarnung ist die Tatsache, dass das angebliche Update eine gültige digitale Signatur verwendet und damit erfolgreich vorspiegelt, von dem fälschlicherweise genannten Herausgeber zu stammen und nicht verändert worden zu sein.

Fallen die Anwender auf den Trick mit dem vermeintlich legitimen Update herein, laden sie einen Schädling auf ihre Rechner, der die bösartigen Browser-Erweiterungen installiert und sich anschließend mit einer bösartigen Webadresse im Internet verbindet. Von dort lädt die Schadsoftware eine Konfigurationsdatei herunter, mit der die Cyberkriminellen hinter dem Schädling die Konten der Opfer auf sozialen Medien kapern und dort ohne Zutun der Anwender folgende Aktionen ausführen können:

• Seiten mit „Gefällt mir“ markieren
• Einträge mit anderen teilen
• einer Gruppe beitreten
• Freunde in eine Gruppe einladen
• mit Freunden chatten
• Einträge kommentieren und
• den Status aktualisieren

Wie Anwender die Infektionskette unterbrechen können

Die schädlichen Plugins geben sich für den Google-Browser als „Chrome Service Pack 5.0.0“ oder „F-Secure Security Pack 6.1.0“ aus. Im Fall von „Mozilla Firefox“ nennen sich die bösartigen Erweiterungen „Mozilla Service Pack 5.0“ oder „F-Secure Security Pack 6.1“.

Anwender schützen sich am besten vor der beschriebenen Bedrohung mittels einer Sicherheitssoftware, mit der die Reputation von Webadressen geprüft und bewertet wird. Werden die Webadressen, mit denen die bösartigen Browser-Erweiterungen sich im Internet zu verbinden versuchen, aufgrund dieser Bewertung blockiert, wird die Infektionskette effektiv unterbrochen und die Cyberkriminellen erlangen keine Kontrolle über die Social-Media-Konten der so geschützten Anwender.

Weitere Informationen zume Thema:

blog.trendmicro.de
Malware kapert Social Media-Konten über Browser Plugins