Der kroatische Sicherheitsforscher Bojan Zdrnja hat eine schädliche Erweiterung für den Google-Browser Chrome entdeckt. Sie missbraucht dessen Synchronisationsfunktion, um Daten von Nutzern zu stehlen, Firewall-Einstellungen und andere Sicherheitsmaßnahmen zu umgehen und Befehle an infizierte Browser zu senden.
Aufmerksam wurde Zdrnja die Erweiterung und denn Missbrauch der Sync-Funktion bei der Untersuchung eines Sicherheitsvorfalls. Unbekannte hatten sich Zugang zum Computer eines Opfers verschafft, um Daten aus einem Unternehmensportal zu stehlen. Zu diesem Zweck luden sie eine gefährliche Chrome-Erweiterung auf den Computer des Opfers herunter und schleusten sie über den Entwicklermodus von Chrome ein.
Die Erweiterung selbst war als Sicherheits-Add-on des Anbieters Forcepoint getarnt. Sie enthielt den Schadcode, um die Sync-Funktion für den Datendiebstahl und die Kommunikation mit dem Browser benutzen zu können. So erhielten die Cyberkriminellen Zugang “zu einer internen Webanwendung, auf die das Opfer Zugriff hatte”.
Der schädliche Code legte nahe, dass der Angreifer die Erweiterung nutzte, um ein textbasiertes Feld zu erstellen, in dem Token Keys gespeichert wurden. Diese synchronisierte der kompromittierte Browser anschließend mit der Google Cloud. Abrufen konnte er diese Daten, indem er sich mit demselben Google-Konto in einer anderen Instanz von Chrome anmeldete – für diesen Zweck war auch ein Wegwerf-Konto geeignet.
Das Textfeld konnte der Analyse des Forschers zufolge beliebige Daten über beziehungsweise aus dem gekaperten Browser enthalten. Dazu gehörten Nutzernamen, Kennwörter, Kryptographieschlüssel oder eben auch Befehle, die der entfernte Browser ausführen sollte.
Die Kaperung der Sync-Funktion bot den Angreifern zudem die Möglichkeit, ihren eigenen Datenverkehr im legitimen Traffic des Chrome-Browsers zu verbergen. Dem Forscher zufolge wird solcher Datenverkehr in Unternehmen oft weder geprüft noch blockiert. Auch sei es nicht ohne weiteres möglich, pauschal den Traffic zu client4.google.com zu sperren, da darüber nicht nur die Sync-Funktion von Chrome abgewickelt werden. Stattdessen rät der Forscher, die Enterprise-Version von Chrome einzusetzen und per Gruppenrichtlinie die Installation von Browsererweiterungen zu beschränken.
2025: Synthetische Daten führen zu Herausforderungen in Bezug auf KI und Data Governance / Entschlüsselung…
Wie Canon, AmberTech Solutions und Frends als Team Unternehmen die digitale Transformation erleichtern.
Mit Low-Code und No-Code lassen sich Funktionen in Applikationen schnell ergänzen, was jedoch zu einem…
Zero-Trust- und Zero-Knowledge-Cybersicherheit zum Schutz von Passwörtern, Zugangsdaten, privilegierten Zugängen, Geheimnissen und Remote-Verbindungen.
Vorwerk Gruppe: knapp 200 Schnittstellen, ein zusätzlicher Wechsel auf ein neues Business-Modell und alles in…
"Wir werden ganz klar im internationalen KI-Vergleich durchgereicht", warnt Christian Korff von Cisco Deutschland im…