Hacker stehlen Daten mithilfe von Chromes Sync-Funktion

Der kroatische Sicherheitsforscher Bojan Zdrnja hat eine schädliche Erweiterung für den Google-Browser Chrome entdeckt. Sie missbraucht dessen Synchronisationsfunktion, um Daten von Nutzern zu stehlen, Firewall-Einstellungen und andere Sicherheitsmaßnahmen zu umgehen und Befehle an infizierte Browser zu senden.

Eigentlich soll Chrome Sync Kopien von diversen Browserdaten speichern und mit der Google Cloud abgleichen, sodass mehrere Instanzen des Browser auf unterschiedlichen Geräten auf diese Daten zugreifen können. Synchronisiert werden unter anderem Lesezeichen, der Browserverlauf sowie Einstellungen für den Browser und dessen Erweiterungen.

Aufmerksam wurde Zdrnja die Erweiterung und denn Missbrauch der Sync-Funktion bei der Untersuchung eines Sicherheitsvorfalls. Unbekannte hatten sich Zugang zum Computer eines Opfers verschafft, um Daten aus einem Unternehmensportal zu stehlen. Zu diesem Zweck luden sie eine gefährliche Chrome-Erweiterung auf den Computer des Opfers herunter und schleusten sie über den Entwicklermodus von Chrome ein.

Die Erweiterung selbst war als Sicherheits-Add-on des Anbieters Forcepoint getarnt. Sie enthielt den Schadcode, um die Sync-Funktion für den Datendiebstahl und die Kommunikation mit dem Browser benutzen zu können. So erhielten die Cyberkriminellen Zugang “zu einer internen Webanwendung, auf die das Opfer Zugriff hatte”.

Der schädliche Code legte nahe, dass der Angreifer die Erweiterung nutzte, um ein textbasiertes Feld zu erstellen, in dem Token Keys gespeichert wurden. Diese synchronisierte der kompromittierte Browser anschließend mit der Google Cloud. Abrufen konnte er diese Daten, indem er sich mit demselben Google-Konto in einer anderen Instanz von Chrome anmeldete – für diesen Zweck war auch ein Wegwerf-Konto geeignet.

Das Textfeld konnte der Analyse des Forschers zufolge beliebige Daten über beziehungsweise aus dem gekaperten Browser enthalten. Dazu gehörten Nutzernamen, Kennwörter, Kryptographieschlüssel oder eben auch Befehle, die der entfernte Browser ausführen sollte.

Die Kaperung der Sync-Funktion bot den Angreifern zudem die Möglichkeit, ihren eigenen Datenverkehr im legitimen Traffic des Chrome-Browsers zu verbergen. Dem Forscher zufolge wird solcher Datenverkehr in Unternehmen oft weder geprüft noch blockiert. Auch sei es nicht ohne weiteres möglich, pauschal den Traffic zu client4.google.com zu sperren, da darüber nicht nur die Sync-Funktion von Chrome abgewickelt werden. Stattdessen rät der Forscher, die Enterprise-Version von Chrome einzusetzen und per Gruppenrichtlinie die Installation von Browsererweiterungen zu beschränken.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

10 Stunden ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

14 Stunden ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

18 Stunden ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

1 Tag ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

2 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

2 Tagen ago