Google entfernt 500 schädliche Chrome-Erweiterungen

[English]Google hat 500 schädliche Erweiterungen für den Chrome-Browser aus seinem Web-Store entfernt, nachdem Sicherheitsforscher einen entsprechenden Hinweis gegeben haben.


Anzeige

Früher habe ich auch schon mal für Erweiterungen beim Chrome-Browser berichtet. Inzwischen bin ich aber ein Vertreter von ‘weniger ist mehr’, zu häufig musste ich von kompromittierten Android-Apps oder Browser-Erweiterungen berichten. Im Blogs versuche ich z.B. die Zahl der WordPress Plugins zu minimieren, in Browsern kommen überhaupt keine Erweiterungen zum Einsatz – und falls ich mal was benötige, sind diese nur für die Zeit des Einsatzes aktiviert.

Über obigen Tweet wurde ich auf einen neuen Fall aufmerksam, der Sophos-Sicherheitsforschern dokumentiert wurde. Entdeckt wurde das Ganze von der Sicherheitsforscherin Jamila Kaya, die das CRXcavator-Tool von Duo Security (ebenfalls unter CRXcavator.io erhältlich) verwendete, um eine Handvoll verdächtiger Chrome-Erweiterungen zu untersuchen. Die Erweiterung drehten sich meist rund um die Themen Marketing und Werbung.

Erste Spur: Code in Erweiterungen ist gleich

Als sie eine erste Spur hatte, ging sie der Sache nach. Dabei fiel beim Aufspüren fragwürdiger Erweiterungen auf, dass der Erweiterungscode oft wie eine Nachahmung des Codes weiterer Chrome-Extensions aussah, obwohl kleine Änderungen der Namen interner Funktionen dies verschleiern sollten. Eine weitere beunruhigende Ähnlichkeit war die Anzahl der beantragten Berechtigungen. Die Berechtigungen ermöglichten den Erweiterungen, Zugriff auf Browsing-Daten der Surfer zu bekommen und die Ausführung der Erweiterung beim Besuch von Websites mit HTTPS zu ermöglichen.

Eine ganze Sammlung an verdächtigen Extensions

In Zusammenarbeit mit Duo Security identifizierten die Sicherheitsforscherin schließlich 70 Erweiterungen, die miteinander in Beziehung zu stehen schienen. Alle kontaktierten auch ähnliche Kommando- und Kontrollnetzwerke und schienen dafür konzipiert zu sein, eine Sandbox-Analyse zu erkennen und ihr entgegenzuwirken.

Die Extension hatte Werbebetrug zum Ziel – wobei Domänen ohne Wissen der Benutzer kontaktiert wurden. Und es gab eine Umleitung von Benutzern zu Malware- und Phishing-Domänen. Viele dieser Extensions für den Chrome-Browser waren fast ein Jahr lang im Store aktiv, wobei einige nachweislich schon viel länger existierten.

Google entfernt die Erweiterungen

Nachdem Google von der Sicherheitsforscherin kontaktiert wurde, flogen die 500 Erweiterungen alle aus dem Store. Offenbar hat Google über die 70 ursprünglich gemeldeten Extensions als unerwünscht identifiziert. Denn nach dem Fund aktualisierte das Unternehmen seine Erkennungssignaturen. Google schreibt dazu:

Wir scannen den Store regelmäßig, um Erweiterungen mit ähnlichen Techniken, Codes und Verhaltensweisen zu finden, und nehmen diese Erweiterungen heraus, wenn sie gegen unsere Richtlinien verstoßen.


Anzeige

Aber im konkreten Fall haben diese Mechanismen wohl versagt. Der Chrome-Webshop von Google hat etwa 190.000 Erweiterungen, was die 500 jetzt entfernten dubiosen Erweiterungen relativiert. Ein Bericht von Extension Monitor vom August letzten Jahres schätzte, dass drei Viertel der 190.000 Extensions zwischen null und einer Handvoll Installationen aufweisen. Die von Duo Security und Kaya entdeckten Erweiterungen waren insgesamt 1,7 Millionen Mal installiert worden. Wer gerne solche Browser-Extensions einsetzt, sollte sich vergewissern, nicht solchen obskuren Anbietern auf den Leim zu gehen.


Anzeige
Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Google entfernt 500 schädliche Chrome-Erweiterungen


  1. Anzeige
  2. 1ST1 sagt:

    Microsoft scheit zu wissen, warum im Addon-Store von Chromium-Edge der Chrome-Store erstmal ausgeblendet ist. Wäre interessant zu untersuchen, wie hoch die Qualität im Chredge-Addon-Store ist.

    • Dekre sagt:

      na ja, seit wann ist Microsoft dort der Retter? Mit “bing” und angeschlossenes sind die auch des öfteren auf der negativen Skala.

      Macht denn nicht Chrome das regelmäßig? DIe letzte Meldung von Günter dürfte doch gar nicht so lange her sein.

  3. Ärgere das Böse! sagt:

    Wenn Google konsequent wäre, würde Google die Spyware “Android” vom Markt nehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.