Sicherheits-News zu Google Chrome Erweiterungen

Heute noch ein Sammelbeitrag zu Erweiterungen (Chrome Extensions) für den Google Chrome-Browser. Es gab eine massive Phishing-Welle an Entwickler von Chrome-Extensions. Und in der kommenden Chrome Version 70 führen die Entwickler eine neue Sicherheitsfunktion für Chrome-Extensions ein. Diese sollen solche Phishing-Angriffe wirkungslos machen.


Anzeige

Extension-Entwickler Opfer von Phishing-Kampagne

Vom Benutzer installierte Chrome-Erweiterungen laufen direkt im Google Chrome und erhalten Zugriff auf alles, was der Nutzer im Browser macht. Ich verwende daher aktuell keinerlei Chrome-Erweiterungen, da ich in der Vergangenheit auch über kompromittierte Erweiterungen berichtet habe (siehe Linkliste am Artikelende).

Bisher war es so, dass Leute mit bösen Absichten den Entwicklern von Chrome-Erweiterungen die Projekte abkauften. Nachdem dann ein paar Wochen ins Land gingen, wurde der Code der Chrome-Erweiterung mit Malware-Funktionen ergänzt. Das ist aber aufwändig und langwierig.

Vor einigen Tagen berichtete ZDnet.com in diesem Artikel von einer massiven Phishing-Kampagne, die auf Entwickler von Chrome-Erweiterungen zielt. Die Kampagne versuchte, Entwickler dazu zu bringen, auf eine Phishing-Seite zuzugreifen.

Phishing-Mail
(Phishing-Mail, Quelle: ZDnet.com)


Anzeige

Zweck der Seite war es, die Anmeldeinformationen für die Google-Konten der Entwickler abzugreifen. Ein erfolgreicher Angriff, bei dem Zugangsdaten abgefischt werden konnten, ermöglicht den böswilligen Akteuren, sich in die Chrome Web Store Dashboards einzuloggen. Dann lassen sich dort bösartige Versionen legitimer Chrome-Erweiterungen einstellen. Alle Nutzer, die sich dann die Erweiterung installieren, erhalten die Malwarefunktionen in den Chrome-Browser. So etwas gab es bereits im Sommer 2017. Details zu dieser Kampagne finden sich in diesem ZDNet.com-Artikel.

Chrome 70 mit mehr Sicherheit für Extension

Host-Berechtigungen haben zwar Tausende von leistungsstarken und kreativen Erweiterungen ermöglicht. Aber die Möglichkeiten haben auch zu einem breiten Spektrum von Missbrauch – sowohl böswilligen als auch unbeabsichtigten – geführt. Denn Chrome-Erweiterungen haben ja Zugriff auf die Daten der Websites und können diese automatisch zu lesen und zu ändern.

Das Ziel der Chrome-Entwickler ist es, wie sie hier schreiben, die Transparenz für die Benutzer und die Kontrolle darüber zu verbessern, wann Erweiterungen auf Standortdaten zugreifen können. In der kommenden Chrome Version 70 wollen die Entwickler des Browsers eine neue Sicherheitsfunktion für Chrome-Erweiterungen einführen. Ab dieser Version erhalten Benutzer die Möglichkeit, den Zugriff der Chrome-Erweiterungen auf Webseiten über Host-Berechtigungen auf eine benutzerdefinierte Liste von Websites zu beschränken oder Erweiterungen zu konfigurieren.

Chrome-Extension-Option
(Quelle: Chrome)

Über einen neuen Menübefehl lässt sich vorgeben (siehe obiges Bild), ob die Erweiterung Daten aller Webseiten lesen und ändern kann. Es kann aber auch vorgegeben werden, dass ein Klick auf die Extension erforderlich ist, um auf die Daten zuzugreifen. Weiterhin lassen sich Ausnahmeliste mit Webseiten für Zugriffe festlegen.

Entwickler von Chrome-Extensions sollten daher diesen User Controls For Host Permissions: Transition Guide lesen.

Änderungen am Review-Prozess der Erweiterungen

In Zukunft werden Erweiterungen, die leistungsstarke Berechtigungen anfordern, einer zusätzlichen Compliance-Prüfung unterzogen. Die Chrome-Leute wollen Erweiterungen, die remote gehosteten Code verwenden und ständig überwacht werden, sehr genau prüfen. Die Berechtigungen von Chrome-Erweiterung sollten so eng wie möglich gefasst sein. Der ganze Code sollte direkt in das Erweiterungspaket aufgenommen werden, um die Überprüfungszeit durch Google zu minimieren.

Erforderliche 2FA-Authentifizierung für Konten

Ab dem Jahr 2019 ist die Registrierung für die 2-stufige Verifizierung (2-Faktor-Authentifizierung) für Chrome Web Store Developer Accounts erforderlich. Damit will Google verhindern, dass Entwickler von populären Chrome-Erweiterungen durch Phishing-Angriffe ausgetrickst werden und Betrüger an die Kontenzugangsdaten gelangen. Zudem empfiehlt Google für eine noch bessere Kontosicherheit das Advanced Protection Program. Der erweiterte Schutz bietet den gleichen Sicherheitsstandard, auf den Google für seine eigenen Mitarbeiter angewiesen ist, und erfordert einen physischen Sicherheitsschlüssel, um sich bestmöglich gegen Phishing-Angriffe zu schützen. Zu diesem Thema hatte ich was im Blog-Beitrag Google Titan Security Keys – Made in China geschrieben.

Ähnliche Artikel
Google Titan Security Keys – Made in China 
Vorsicht vor Chrome-Extensions mit Schadcode
Rogue-Extensions hijacken Chrome und Firefox
Chrome-Extension Archive-Poster verteilt Krypto-Miner
Chrome-Erweiterung für Mega gehackt, stiehlt Anmeldedaten
Browser AddOn Stylish für Chrome/Firefox verbannt
Mehr als 100.000 Rechner per Chrome-Erweiterungen infiziert
Chrome-Erweiterung nutzt Session-Replay zur Spionage
Google Chrome zeigt keine Tweets mehr an
Gefahr durch (kompromittierte) Chrome-Erweiterungen
Chrome Erweiterung CopyFish kompromittiert


Anzeige

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.