Google Chrome: Mehr als ein Drittel der Erweiterungen fordern Zugang zu Nutzerdaten

Google Chrome (Bild: Google)

Mehr als die Hälfte der insgesamt 120.000 untersuchten Erweiterungen fordert die Berechtigung ein, alle Daten eines Nutzers auf beliebigen Websites zu lesen, wie eine Studie des Sicherheitsanbieters Duo Labs zeigt.

Einer Studie des US-Sicherheitsanbieter Duo Labs über Erweiterungen für den Google-Browser Chrome zufolge fordert mehr als die Hälfte der insgesamt 120.000 untersuchten Erweiterungen die Berechtigung ein, alle Daten eines Nutzers auf beliebigen Websites zu lesen. Was sie mit den Daten machen, lassen 85 Prozent der Erweiterungen offen – nur 15 Prozent verfügen über eine Datenschutzrichtlinie.

Wie die Untersuchung außerdem ergab, geben 77 Prozent der Chrome-Erweiterungen keine Support-Website an. Dafür setzen 32 Prozent JavaScript-Bibliotheken von Drittanbietern ein, in denen öffentlich bekannte Sicherheitslücken stecken, die die Erweiterungen und damit die Browser der Nutzer angreifbar machen. Neun Prozent der Erweiterungen sind in der Lage, Cookies zu lesen, die unter Umständen sogar Anmeldedaten enthalten.

Google Chrome (Bild: Google)

Die Studie wurde mithilfe eines neu entwickelten Online-Diensts namens CRXcavator entwickelt. Er erlaubte es den Forschern von Duo Labs, den gesamten Chrome Web Store zu scannen und den Quellcode sowie die Einträge von 120.463 Chrome-Erweiterungen zu prüfen.

Die Forscher sahen sich unter anderem an, welche Berechtigungen die Erweiterungen abfragen, mit welchen externen Domains sie kommunizieren und ob sie als unsicher eingestufte Bibliotheken verwenden. Außerdem wollten sie wissen, ob die Erweiterungen auf OAuth2-Daten zugreifen und ob in ihren Einträgen im Chrome Web Store Hinweise auf eine Datenschutzrichtlinie beziehungsweise den verantwortlichen Entwickler zu finden sind.

Über das CRXcavator-Portal können Nutzer einen Sicherheitsbericht zu den von ihnen installierten Chrome-Erweiterungen abrufen. Sollte ein Add-on nicht enthalten sein, können sie dessen ID einreichen und einen Scan ausführen. Unternehmen steht zudem die Chrome-Erweiterung CRXcavator Gatherer zur Verfügung, um Daten über die von Mitarbeitern eingesetzten Erweiterungen zu sammeln. Die Daten können anschließend über das CRXcavator-Portal geprüft werden. Dabei wird ein Risiko-Score für jede Erweiterung ermittelt, was es erlaubt, bestimmte Add-ons gezielt zu deaktivieren.

Die Erweiterung ermöglicht es Anwendern aber auch, die Installation einer Erweiterung zu beantragen. Systemadministratoren erhalten die Anfrage und können nach Prüfung des Risiko-Scores der Erweiterung deren Installation genehmigen oder ablehnen.

Browsererweiterungen haben sich zu einem möglichen Einfallstor für Malware entwickelt, was auch dem Umstand geschuldet ist, dass Chrome inzwischen einen Marktanteil von mehr als 60 Prozent hat. Beispielsweise kaufen Hacker Erweiterungen, deren ursprüngliche Entwickler das Interesse an der Erweiterung verloren haben. Solche Erweiterungen werden dann für Spear-Phishing-Angriffe benutzt, um Schadcode in ein Unternehmensnetzwerk einzuschleusen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!