Ich stelle mal ein nicht mehr so ganz neues Problem hier im Beitrag zur Diskussion. Manche Leute verwenden ja recht heftig sogenannte Browser-Extensions. Die bieten Zusatzfunktionen, setzen Nutzer aber der Gefahr aus, dass plötzlich Schadfunktionen über kompromittierte Extensions in den Browser kommen.
Anzeige
Chrome-Extensions nach Übernahme kompromittiert
Die Meldung ging vor einigen Wochen durchs Web: Im Google Web-Store für Chrome Extensions waren 33 kompromittierte Erweiterungen für den Browser gefunden worden. Einige dieser Extensions standen seit 18 Monaten im Google Web-Store bereit und wurden von ahnungslosen Nutzern im Browser installiert.
Sicherheitsforscher des Anbieters Cyberhaven stießen bei Analysen auf die schädlichen Erweiterungen und stellten fest, dass diese Code enthielt, mit dem heimlich sensible Daten von etwa 2,6 Millionen Geräten abgegriffen werden konnten. Es ist von 400.000 betroffenen Nutzern die Rede.
Die Erweiterungen für den Chrome-Browser waren von den Entwicklern verkauft worden und wohl in die Hände von Cyberkriminellen geraten. ArsTechnica hatte das Thema beispielsweise in diesem Artikel aufgegriffen. Dort findet sich auch die Liste der Chrome Browser-Extensions, die jetzt aufgefallen sind. Sind Erweiterungen, die Zugriff auf ChatGPT, VPN oder ähnliches versprechen. Wer eine der Erweiterungen installiert hatte, muss davon ausgehen, dass sensible Daten abgeflossen sind.
Anzeige
Wie handhabt ihr das mit Browser-Extensions?
Dass Browser-Extensions kompromittiert werden, ist keine wirklich neue Erkenntnis. Ähnlich wie bei Mobilgeräte-Apps gibt es alle paar Monate entsprechende Funde. Während manche Erweiterungen sinnvolle Funktionserweiterungen versprechen bzw. bereitstellen, läuft man ständig Gefahr, dass man sich Malware in den Browser holt.
Ich selbst bin bezüglich Browser-Erweiterungen ziemlich außen vor, da der verwendete Ungoogled Browser keine Browser-Extensions aus dem Google Chrome Web-Store akzeptiert. Es gibt zwar eine Möglichkeit, solche Extensions zu installieren, aber mir ist das zu aufwändig und ich habe auch keinen wirklichen Bedarf. Daher sind im Firefox, der ebenfalls auf meinem System als alternativer Browser läuft, auch keine Erweiterungen aktiviert.
Wie haltet ihr das bei euch in den Umgebungen mit Browser-Extensions? Setzt ihr das einzelne Erweiterungen ein? Und wie sichert ihr euch gegen Fälle, wie obigen skizziert, eigentlich ab?
Ähnliche Artikel:
Fast 200 Extensions (Chrome, Firefox, Opera) unsicher
Rogue-Extensions hijacken Chrome und Firefox
Acrobat Reader-Update installiert heimlich Chrome-Extension
Sicherheitslücken im Chrome, Firefox etc. Extension-System
Chrome-Extension Archive-Poster verteilt Krypto-Miner
Vorsicht vor Chrome-Extensions mit Schadcode
Chrome warnt künftig vor schädlichen Anwendungen; Extensions als top Sicherheitsrisiko
Shodan Chrome-Extension zeigt offenen Ports
Anzeige
Ich verwende lediglich eine Erweiterung: uBlock Origin
Ebenso wenn auch mit Microsoft Edge aus dem Edge Extensions Store
Moin zusammen,
wir haben Extensions per GPO gänzlich verboten und arbeiten in der GPO mit Whitelist.
Dort haben wir zb die IDs eingetragen, die wir erlauben oder vorinstallieren.
Überwachen können wir das mit Manage Engine Endpoint Central und der Broswer Security Erweiterung. Letzteres hat uns beim Umstieg auf diese Restrictions geholfen.
Liebe Grüße
Ich nutze den Chrome ausschließlich für den Workspace und alles, was mit Drive etc. zusammenhängt, ohne Add-Ons etc.
Ansonsten ist der Firefox mein Hauptbrowser und da habe ich auch nur eine handvoll Add-Ons installiert. Da wären, Bookmark Organizer, Brief (RSS Reader), DownThemAll, History Cleaner, Lightshot, SingleFile (Webseiten speichern) und uBlockOrigin.
Wir haben alle Extensions per GPO gesperrt, bzw. die paar, die wir nutzen werden per GPO vorgegeben.
Und wie entscheidet ihr, welche genutzt werden dürfen?
Macht ihr Code Audits der Extensions bevor ihr sie freigebt?
Monitort ihr deren Verhalten nach der Installation?
Das ganze Whitelisten über GPO und nur "wenige" Extensions funktioniert nicht, weil die Extensions die hier verwendet wurden, vorher nicht auffällig waren. Die wurden ja nicht mit dem Ziel gebaut, Daten abzugreifen, sondern wurden nachträglich entsprechend modifiziert.
Das könnte genauso bei uBlock Origin oder einer beliebigen Firefox-Extension passieren (und ist auch schon passiert, z.B. bei Bypass).
Das muss man sich klar machen, wenn man Schutzmaßnahmen plant. Whitelists reichen bei Supply-Chain-Angriffen nicht. Es helfen nur Audits der erlaubten Extensions bevor sie ausgerollt werden.
Siehe auch https://www.bleepingcomputer.com/news/security/malicious-browser-extensions-are-the-next-frontier-for-identity-attacks/
Ohne Extensions ist der FF leider nicht wirklich nutzbar. Natürlich kommt an 1. Stelle uBlock Origin aber auch Google Search Link Fix ist wichtig, um keine Informationen an Goole zu leaken. Markdown Viewer ist praktisch und User Agent Switcher gegen Tracking bzw. das Blocken von bestimmten Funktionen durch Websites quasi unerläßlich. Leider kooperieren die Browser Hersteller viel zu viel mit der Werbewirtschaft, so daß dies nur durch Extensions ausgeglichen werden kann. Der kastrierte und von Werbung strotzende Edge ist da ein höheres Risiko als die Extensions. Paßwort Management über Extensions ist natürlich tabu.
Zitat:
"33 kompromittierte Erweiterungen"
—
Die Anzahl stimmt nicht.
Es sind 36 Erweiterungen.
In der Liste von ArsTechnica fehlen diese 3 Erweiterungen:
Where is Cookie?
ID: emedckhdnioeieppmeojgegjfkhdlaeo
Web3Password Manager
ID: pdkmmfdfggfpibdjbbghggcllhhainjo
Reader Mode
ID: fbmlcbhdmilaggedifpihjgkkmdgeljh
Liste der 36 Erweiterungen:
extensiontotal. com/cyberhaven-incident-live
Wer sich ebenfalls wundert: Es gibt zwei Extensions mit dem Namen ReaderMode. Beide sind wohl betroffen.
ReaderMode von ReaderMode.io
llimhhconnjiflfimocjggfjdlmlhblm
ReaderMode von reader-view.com
fbmlcbhdmilaggedifpihjgkkmdgeljh
Also ich verwende sehr gerne sogenannte Browser-Extensions für diverse Aufgaben, aber der Google Chrome Browser kommt mir nicht auf den Rechner. Selbst auf dem Androide Smartphone habe ich ihn samt Assistenten und Werbung kurzerhand verbannt.
Aber die Gefahr besteht natürlich immer, dass man sich mit einem Browser-Extension Spyware direkt in den Browser holt. Aber das kann einem auch mit normaler Software passieren.
Verwendung findet bei mir, Cookie AutoDelete, Firefox Multi-Account Containers, I don't care about cookies, Show/Hide passwords, uBlock Origin, NoScript und Image Downloader.
Die Erweiterung "I don't care about cookies" wurde von AVAST gekauft und verändert, also sollte man diese Erweiterung löschen.
Alternativ gibt es entweder die Community-Version oder "I still don't care about cookies" oder Adguard.
Nur eine beschränkte Auswahl an Extensions, hauptsächlich mit der Aufgabe Werbe/Tracking zu blocken bzw. diese mit Fakedaten füttern. Ist ja schon Notwehr sich gegen die WerbeMAFIA zu wehren.
Diese Handvoll hält man aber natürlich gut im Auge… muss man ja aber mit jedweder Software die man nutzt, den auch die können übernommen werden und per Updates plötzlich Malware enthalten…
Man muss seine Systeme eben überwachen!
Ich nutze ausschließlich den Firefox und habe nur uBlock Origin instaliert.
und was ist mit diesen extensions im edge store? gibt ja viele von den betroffenen auch für edge bei microsoft im store