Fast 200 Extensions (Chrome, Firefox, Opera) unsicher

[English]Sicherheitsforscher haben fast 200 Erweiterungen für Google Chrome, den Firefox oder den Opera gefunden, die sich durch schädliche Webseiten angreifen lassen. Möglicherweise mal wieder eine Gelegenheit, nachzusehen, ob man das Zeugs wirklich braucht.


Anzeige

Ich selbst habe hier im Chrome keine Erweiterungen (Extensions) mehr – im Firefox, den ich nur für Tests verwende, gibt es einige wenige Add-Ons (Facebook Container und ein Performance-Test für Webseiten). Zu häufig haben sich Erweiterungen als Störfaktor oder Sicherheitsrisiko erwiesen.

Ein Problem: Bösartige Webseiten können Browser-Erweiterungs-APIs nutzen, um Code im Browser auszuführen und sensible Informationen wie Lesezeichen, Browserverlauf und sogar Benutzer-Cookies zu stehlen. Diverse Datenschutzskandale, wo der Browserverlauf an die Entwickler der Extensions übermittelt und dann gewinnbringend verkauft wurde, gab es in der Vergangenheit ja schon mal.

Aber ein Angreifer könnte noch weiter gehen und über die Browsererweiterungen Sitzungen an E-Mail- oder anderen kennwortgeschützten Konten kapern und Zugriff auf sensitive Daten in diesen Benutzerkonten abgreifen. Selbst der Download bösartigen Codes per Add-on wäre denkbar.

Neuer Fund: 200 Extensions betroffen

Dolière Francis Somé, Forscher an der Université Côte d’Azur und bei INRIA, einem französischen Forschungsinstitut, hat sich dieses Themas angenommen. Dazu hat er ein Tool entwickelt und über 78.000 Chrome-, Firefox- und Opera-Erweiterungen getestet. Dabei konnte er 197 Erweiterungen zu identifizieren, die interne API-Kommunikationsschnittstellen für Webanwendungen freilegten. Dadurch erhielten bösartige Websites einen direkten Zugang zu den im Browser eines Benutzers gespeicherten Daten. Sprich: Es handelt sich um Daten, die unter normalen Umständen nur durch den eigenen Code der Erweiterung hätten erreicht werden können (nachdem die entsprechenden Berechtigungen eingeholt wurden).

Der Forscher hat ein 19 seitiges PDF-Dokument (Englisch) dazu veröffentlicht. Catalin Cimpanu weist in diesem Tweet auf den Sachverhalt hin und hat bei ZDNet einen Artikel mit einer Zusammenfassung veröffentlicht.

Der Sachverhalt zeigt mal wieder, dass man sich als Nutzer inzwischen auf nichts mehr verlassen kann. Die Suche bzw. Verwendung von Software ist inzwischen zum Schwimmen im ‘Haifisch-Becken’ mutiert. Ziel muss es imho sein, die Zahl der Tools und Erweiterungen auf ein Minimum zu begrenzen und eine gewisse Paranoia zu entwickelt, dass alles und jedes kaputt sein kann. Oder wie seht ihr das?

Ähnliche Artikel:
Datenskandal: ‘bist Du gläsern?’ Millionen Daten von deutschen Surfern offen gelegt
Ergänzung zum #Surfgate: Politikerdaten aufgetaucht,
Datenskandal: Mozilla und Google werfen “Web of Trust” raus
WoT: Oh, sorry, wir haben eure Daten unabsichtlich verkauft
Sicherheitslücken im Chrome, Firefox etc. Extension-System
Sicherheits-News zu Google Chrome Erweiterungen
Vorsicht vor Chrome-Extensions mit Schadcode
Chrome-Extension Archive-Poster verteilt Krypto-Miner
Firefox-Addon Web Security übermittelt private Daten
Firefox patzt bei der Master-Passwort-Speicherung
Mozilla ärgert Firefox-Nutzer mit ‘Mr. Robot’-Add-On-Installation
Firefox als Datenkrake mit Cliqz-Addon?
Chrome-Erweiterung für Mega gehackt, stiehlt Anmeldedaten
Firefox: Google-Suche zeigt personalisierter Werbung
Browser AddOn Stylish für Chrome/Firefox verbannt


Anzeige
Dieser Beitrag wurde unter Firefox, Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Fast 200 Extensions (Chrome, Firefox, Opera) unsicher

  1. Alexander sagt:

    Deswegen setze ich bevorzugt Browser ein, die keine (oder nur wenige) Add-Ons unterstützen. Aber wahrscheinlich bin ich mit der Einstellung alleine. Anders kann ich mir den Misserfolg von Edge nicht erklären.

  2. Ludwig von Ay sagt:

    Warum ist die ‘Forschungsarbeit’ auf Chrome, Firefox und Opera beschränkt? Warum wurden nicht auch Edge und Internet Explorer einbezogen? Beim Überfliegen des 19-Seiten-pdf habe ich dazu keine Erklärung gefunden.

    Könnte es eventuell sein, dass der Forscher oder sein Institut von M$ gesponsert werden? Ein Schelm, …

    Gruß, LvA

    • Ralph D. Kärner sagt:

      Der IE ist im Grunde tot. Und für Edge: gibt es da überhaupt AddOns? Ansonsten sagt mir die Browserauswahl nur eins: es sind alles Browser, die auf deutlich mehr als nur einem Betriebssystem laufen. Und damit wird diese Untersuchung auf für jene interessant, die nichts mit Windows zu tun haben. Deswegen ist Dein Argument dennoch nicht von der Hand zu weisen behaupte ich als Schelm….

      • Ludwig von Ay sagt:

        > Der IE ist im Grunde tot. <

        Das würde ich so nicht sagen. Wenn auf dem FF mal eine Seite nicht richtig funktioniert, hilft oft ein Versuch auf dem IE.

        • Jens sagt:

          Wenn das notwendig ist, dann ist wohl eher der Webdesigner der Seite tot und die Seite ist vermutlich noch heftig “für den IE optimiert” und wurde in den letzte Jahren nicht mehr angefasst.

    • Günter Born sagt:

      Die Frage kann nur der Forscher selbst beantworten. Alles andere ist Spekulation.

  3. Werbung

  4. MBR sagt:

    Ich muss zugeben, ich nutze Firefox mit diversen AddOns (NoScript, RSS-Reader, KeePass-Integration, …). Und ich möchte diese auch nicht missen!

    Allerdings finde ich auffällig, dass so viel mehr Erweiterungen bei Chrome getestet wurden und auch anteilig mehr Funde zu verzeichnen sind. Nun ist die Frage: Ist im Mozilla Store mehr Qualität als Quantität (NPAPI-Abkündigung?) oder ist dies lediglich eine willkürliche Auswahl? Final dürften das nur die Autoren sagen können…

    • Steter Tropfen sagt:

      Soweit ich im Hinterkopf habe, ist Chrome international der mit Abstand am meisten verwendete Browser, während der Firefox in anderen Ländern längst nicht so stark verbreitet ist wie bei uns.
      Dementsprechend wird wahrscheinlich der Testschwerpunkt gesetzt worden sein.

      Außerdem hat Mozilla in den letzten Jahren systematisch AddOn-Programmierer vergrault. Zuletzt mit der Zwangsumstellung auf ausschließlich WebExtensions ist die Zahl der noch vorhandenen AddOns rapide geschmolzen.

  5. Bolko sagt:

    Wenn du keine Erweiterungen mehr benutzt, wie verhinderst du dann Werbung?
    Hast du die hosts-Datei ergänzt oder benutzt du einen RasperryPi oder ist dir Werbung egal, obwohl auch Werbung ein Sicherheitsrisiko sein kann?

    Meine Erweiterungen stehen jedenfalls nicht in den Listen im PDF und sind demzufolge sicher (ublock Origin, uMatrix, HTTPS Everywhere, Privacy Badger, Canvas Defender, Bookmarks Menu, Awesome Cookie Manager, Vanilla Cookie Manager, Video DownloadHelper, Tab Manager Plus, Fruumo Tab Manager, Referer Control).

    Die Online-Analyse funktioniert bei mir nicht. Da steht immer nur bitte Warten und das Symbol dreht sich endlos.

    Wo kann man den unique identifier der Firefox-Erweiterungen finden oder gibt es das nur bei Chrome und Opera? Bei Chrome weiß ich wo die stehen:
    C:\Users\USERNAME\AppData\Local\Chromium\User Data\Default\Extensions

    • Ralph D. Kärner sagt:

      Ich habe – wie so oft – gerade keinen Wintendo zur Hand. Ich meine aber, mich zu erinnern, dass Du unter %appdata% und/oder unter %localappdata% einen Ordner namens Mozilla findest, in dessen Tiefen sich die Dinger auch finden lassen sollten.

      • Bolko sagt:

        Der Ordner für die Firefox-Erweiterungen:
        C:\Users\USERNAME\AppData\Roaming\Mozilla\Firefox\Profiles\PROFILNAME\extensions

        Da stehen allerdings nicht die unique identifier drin, sondern der Klarname bzw eine GUID, deren Aufbau aber eine andere ist als bei Chromium bzw als in den Listen im PDF.

        Beispiele:
        {b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi -> GUID für den Video Download Helper

        jid1-MnnxcxisBPnSXQ@jetpack.xpi -> Privacy Badger

        uBlock0@raymondhill.net.xpi -> uBlock Origin

        Also scheint es beim Firefox keine unique identifiers im selben Format zu geben.

    • Günter Born sagt:

      @Bolko: Zu ‘Wenn du keine Erweiterungen mehr benutzt, wie verhinderst du dann Werbung?’

      Wenn sich die Frage auf mich bezieht: Ich habe bisher noch nie einen Werbeblocker verwendet, da ich letztendlich das Geschäftsmodell der Webseiten, die ich besuche, kenne und stützen möchte. Overlay-Werbung etc. ist inzwischen kein Thema mehr bei den Seiten, die ich besuche. Die Initiativen von Google Chrome, nur noch ‘good behavior ads’ anzuzeigen, haben bereits Wirkung gezeigt. Die Seiten, die früher mit so etwas extrem genervt haben, habe ich schlicht boykottiert.

      Zum Thema ‘auch Werbung ein Sicherheitsrisiko sein kann’: Da ich über diese Fälle i.d.R. auch blogge, weiß ich, dass es das gibt. Das Risiko ist aber gegen die restlichen Risiken, nach meiner Einschätzung, recht gering.

      Von daher ist das Thema ‘Werbung’ auf Webseiten für mich als Problem nicht existent – ich teste höchstens mal per Privacy Badger-Plugin, wie die eigenen Seiten werbefrei aussehen.

      • der_Puritaner sagt:

        Man kann mit einem Werbeblocker auch Seiten unterstützen in dem man auf “hier Werbung zulassen” klickt, wenn das zum Beispiel viele Leute tun und es kein Problem mit den Seiten gibt stuft uBlock Origin von Raymond Hill diese auch als gut ein.
        Gleiches gilt auch für Privacy Badger den ich ebenfalls nutze das einzige nicht so Astreine Programm was ich nutze ich noch der Video Download Helper.
        Ich kann ja auch Seiten recht schnell Melden, theoretisch könnte man so Webseiten innerhalb weniger Minuten durch Millionen Nutzer aus der Comnunity ausschließen.

  6. dummy sagt:

    Kann denn nicht jemand eine (Excel-)Liste erstellen damit man bequem nach Browser/Erweiterung filtern kann? Warum ein 19 seitiges englisches Dokument?

  7. Thorky sagt:

    Paranoia ist vermutlich das richtige Wort: 197 von 78.000 getesteten Erweiterungen sind schadhaft. Ich finde, das ist ein verdammt gutes Ergebnis. Lasst die maximal 197 Autoren nachbessern, und wir haben eine 100%-Quote an intakten Add-Ons. :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.