287 Chrome Extensions spionieren 37 Millionen Nutzer aus

Veröffentlicht am 14. Februar 2026 von Günter Born

Der Google Chrome Store hostet mittlerweile rund 240.000 Erweiterungen für den Google Chrome-Browser, manche mit Millionen Nutzer. Sicherheitsforscher haben diese Extensions analysiert und kamen zu einem unschönen Ergebnis: 287 Chrome Extensions spionieren ihre Nutzer aus. Es gibt wohl rund 37 Millionen Betroffene.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Analyse von Chrome-Extensions

Wer Chrome-Erweiterungen einsetzt, gibt diesen Extensions den Zugriff und die Kontrolle über alles, was der Browser kann. Bereits im Jahr 2017 untersuchten M. Weissbacher et al. bösartige Browser-Erweiterungen. In diesem Jahr wurde bekannt, dass der beliebte Theme-Manager "Stylish" heimlich Browsing-URLs an einen Remote-Server sendete (siehe meinen Beitrag Browser Add-On Stylish – der neue Datensammler? aus dem Januar 2017).

Schädliche Chrome Extensions

Das brachte einen Sicherheitsforscher mit dem Alias qcontinuum1 auf den Gedanken,  gemeinsam mit Kollegen Chrome-Extensionen gezielt darauf hin zu untersuchen, ob diese Benutzerdaten abziehen und an Server senden. Aus der Vergangenheit war bekannt, dass Chrome-Erweiterungen dazu verwendet werden, den Browserverlauf von Nutzern zu exfiltrieren. Dieser wurde dann von Datenbrokern wie Similarweb und Alexa gesammelt.

Automatisierte Docker Testumgebung

Nun versuche das Team der Sicherheitsforscher zu beweisen, dass Similarweb nach wie vor sehr aktiv ist und Daten über Extensionen sammelt. Den Forscher war klar, dass sie eine skalierbare, wiederholbare Methode brauchten, um zu messen, ob eine Chrome Erweiterung tatsächlich Daten an Dritt-Server weiter gibt.

Das Team der Sicherheitsforscher hat eine automatisierte Scan-Pipeline entwickelt, die Chrome in einem Docker-Container ausführt. Der der gesamte Datenverkehr des Docker-Containers wurde über einen Man-in-the-Middle-Proxy (MITM) geleitet und dort nach ausgehenden Anfragen Ausschau gefiltert, deren Länge mit der Länge der automatisiert eingegebenen URLs korrelieren.

287 Chrome-Extensionen sind aufgefallen

Der Sicherheitsforscher hat die Erkenntnisse der Gruppe auf Github im Beitrag Spying Chrome Extensions: 287 Extensions spying on 37M users veröffentlicht.

  • Mittels der entwickelten "Leckagemetrik" wurden bei diesem Test 287 Chrome-Erweiterungen identifiziert, die den Browserverlauf exfiltrieren und an Drittanbieter übertragen.
  • Diese 287 Chrome-Erweiterungen haben zusammen etwa 37,4 Millionen Installationen. Das entspricht etwa 1 % der weltweiten Chrome-Nutzerbasis.

Die Akteure hinter den Lecks sind vielfältig: Similarweb, Curly Doggo, Offidocs, chinesische Akteure, viele kleinere, unbekannte Datenbroker und ein mysteriöses "Big Star Labs", die Forscher geben an, dass das offenbar ein Ableger von Similarweb ist.

Die Details des Testaufbaus, sowie die gefundenen Chrome Extensions, sind im Github-Beitrag der Sicherheitsforscher dokumentiert.

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.