Categories: BrowserWorkspace

Google Chrome: Mehr als ein Drittel der Erweiterungen fordern Zugang zu Nutzerdaten

Einer Studie des US-Sicherheitsanbieter Duo Labs über Erweiterungen für den Google-Browser Chrome zufolge fordert mehr als die Hälfte der insgesamt 120.000 untersuchten Erweiterungen die Berechtigung ein, alle Daten eines Nutzers auf beliebigen Websites zu lesen. Was sie mit den Daten machen, lassen 85 Prozent der Erweiterungen offen – nur 15 Prozent verfügen über eine Datenschutzrichtlinie.

Wie die Untersuchung außerdem ergab, geben 77 Prozent der Chrome-Erweiterungen keine Support-Website an. Dafür setzen 32 Prozent JavaScript-Bibliotheken von Drittanbietern ein, in denen öffentlich bekannte Sicherheitslücken stecken, die die Erweiterungen und damit die Browser der Nutzer angreifbar machen. Neun Prozent der Erweiterungen sind in der Lage, Cookies zu lesen, die unter Umständen sogar Anmeldedaten enthalten.

Die Studie wurde mithilfe eines neu entwickelten Online-Diensts namens CRXcavator entwickelt. Er erlaubte es den Forschern von Duo Labs, den gesamten Chrome Web Store zu scannen und den Quellcode sowie die Einträge von 120.463 Chrome-Erweiterungen zu prüfen.

Die Forscher sahen sich unter anderem an, welche Berechtigungen die Erweiterungen abfragen, mit welchen externen Domains sie kommunizieren und ob sie als unsicher eingestufte Bibliotheken verwenden. Außerdem wollten sie wissen, ob die Erweiterungen auf OAuth2-Daten zugreifen und ob in ihren Einträgen im Chrome Web Store Hinweise auf eine Datenschutzrichtlinie beziehungsweise den verantwortlichen Entwickler zu finden sind.

Über das CRXcavator-Portal können Nutzer einen Sicherheitsbericht zu den von ihnen installierten Chrome-Erweiterungen abrufen. Sollte ein Add-on nicht enthalten sein, können sie dessen ID einreichen und einen Scan ausführen. Unternehmen steht zudem die Chrome-Erweiterung CRXcavator Gatherer zur Verfügung, um Daten über die von Mitarbeitern eingesetzten Erweiterungen zu sammeln. Die Daten können anschließend über das CRXcavator-Portal geprüft werden. Dabei wird ein Risiko-Score für jede Erweiterung ermittelt, was es erlaubt, bestimmte Add-ons gezielt zu deaktivieren.

Die Erweiterung ermöglicht es Anwendern aber auch, die Installation einer Erweiterung zu beantragen. Systemadministratoren erhalten die Anfrage und können nach Prüfung des Risiko-Scores der Erweiterung deren Installation genehmigen oder ablehnen.

Browsererweiterungen haben sich zu einem möglichen Einfallstor für Malware entwickelt, was auch dem Umstand geschuldet ist, dass Chrome inzwischen einen Marktanteil von mehr als 60 Prozent hat. Beispielsweise kaufen Hacker Erweiterungen, deren ursprüngliche Entwickler das Interesse an der Erweiterung verloren haben. Solche Erweiterungen werden dann für Spear-Phishing-Angriffe benutzt, um Schadcode in ein Unternehmensnetzwerk einzuschleusen.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Redaktion

Recent Posts

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

1 Tag ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

1 Tag ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

3 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

4 Tagen ago

Generative KI macht PDFs jetzt intelligenter

Bei langen und komplexen Dokumenten wie Verträgen, Forschungsarbeiten und Artikeln unterstützt generative KI dabei, in…

5 Tagen ago

Virtuelle Patienten für Universitätsklinikum Bonn

T-Systems entwickelt eine Software-Lösung zum Trainieren von Pflegekräften für das Universitätsklinikum Bonn (UKB).

5 Tagen ago