Der Google Chrome Store hostet mittlerweile rund 240.000 Erweiterungen für den Google Chrome-Browser, manche mit Millionen Nutzer. Sicherheitsforscher haben diese Extensions analysiert und kamen zu einem unschönen Ergebnis: 287 Chrome Extensions spionieren ihre Nutzer aus. Es gibt wohl rund 37 Millionen Betroffene.
Analyse von Chrome-Extensions
Wer Chrome-Erweiterungen einsetzt, gibt diesen Extensions den Zugriff und die Kontrolle über alles, was der Browser kann. Bereits im Jahr 2017 untersuchten M. Weissbacher et al. bösartige Browser-Erweiterungen. In diesem Jahr wurde bekannt, dass der beliebte Theme-Manager "Stylish" heimlich Browsing-URLs an einen Remote-Server sendete (siehe meinen Beitrag Browser Add-On Stylish – der neue Datensammler? aus dem Januar 2017).
Das brachte einen Sicherheitsforscher mit dem Alias qcontinuum1 auf den Gedanken, gemeinsam mit Kollegen Chrome-Extensionen gezielt darauf hin zu untersuchen, ob diese Benutzerdaten abziehen und an Server senden. Aus der Vergangenheit war bekannt, dass Chrome-Erweiterungen dazu verwendet werden, den Browserverlauf von Nutzern zu exfiltrieren. Dieser wurde dann von Datenbrokern wie Similarweb und Alexa gesammelt.
Automatisierte Docker Testumgebung
Nun versuche das Team der Sicherheitsforscher zu beweisen, dass Similarweb nach wie vor sehr aktiv ist und Daten über Extensionen sammelt. Den Forscher war klar, dass sie eine skalierbare, wiederholbare Methode brauchten, um zu messen, ob eine Chrome Erweiterung tatsächlich Daten an Dritt-Server weiter gibt.
Das Team der Sicherheitsforscher hat eine automatisierte Scan-Pipeline entwickelt, die Chrome in einem Docker-Container ausführt. Der der gesamte Datenverkehr des Docker-Containers wurde über einen Man-in-the-Middle-Proxy (MITM) geleitet und dort nach ausgehenden Anfragen Ausschau gefiltert, deren Länge mit der Länge der automatisiert eingegebenen URLs korrelieren.
287 Chrome-Extensionen sind aufgefallen
Der Sicherheitsforscher hat die Erkenntnisse der Gruppe auf Github im Beitrag Spying Chrome Extensions: 287 Extensions spying on 37M users veröffentlicht.
- Mittels der entwickelten "Leckagemetrik" wurden bei diesem Test 287 Chrome-Erweiterungen identifiziert, die den Browserverlauf exfiltrieren und an Drittanbieter übertragen.
- Diese 287 Chrome-Erweiterungen haben zusammen etwa 37,4 Millionen Installationen. Das entspricht etwa 1 % der weltweiten Chrome-Nutzerbasis.
Die Akteure hinter den Lecks sind vielfältig: Similarweb, Curly Doggo, Offidocs, chinesische Akteure, viele kleinere, unbekannte Datenbroker und ein mysteriöses "Big Star Labs", die Forscher geben an, dass das offenbar ein Ableger von Similarweb ist.
Die Details des Testaufbaus, sowie die gefundenen Chrome Extensions, sind im Github-Beitrag der Sicherheitsforscher dokumentiert.
MVP: 2013 – 2016
ich hätte viel mehr Spiele oder sowas erwartet.
tatsächlich liest es sich als ob es nur Pop-up-, Ad Blocker, Download Tools, Video/Bild Editoren, Office Tools und Antivirus wären.
Wölfe im Schafspelz. Vertrauensbonus über den Namen erhoffen und dann hinterrücks zuschlagen.
ich hätte es andersherum erhofft, also "nur spiele".
bdomjcpneblellajjhgfdlnmjfofflop | LibreOffice Editor
fbdaigphodbigaofobmhdcfncjofaffp | LibreOffice Calc online
keagdhckgkgmlidkekabdngbknegkmoo | LibreOffice writer online
jbekkbijnljlblpgjjeocbapiojilnkl | LibreOffice Impress online
hfchkmkbdmahflnpmlhaeeigenkopko | LibreOffice Draw online
ist es nicht krank, dass gerade apps, die von leuten, die sauber bleiben wollen genutzt werden, dreck mitbringen?
Und die schlafen ja nicht auf dem Baum. Siehe "ShadyPanda", Das wurde erst später, mit einem Update bösartig.
Das gabs doch vor einiger Zeit auch mal beim Firefox glaub ich. Sowas wird leider immer wieder passieren befürchte ich.
Und nicht nur die Chrome Extensions spionieren!
Vor Kurzem hab ich auf Instagram ein Video gesehen, wo jemand beschrieb, wie ein Ehepaar abends gemütlich vor ihrem Samsung TV saß und am nächsten Morgen bekamen die eine Kaufempfehlung von Viagra auf das Smartphone.
Fake? Mitnichten!
Wenn man dazu mal recherchiert ist es tatsächlich so, dass gewisse TV Geräte von Samsung eine Sprachsteuerung ähnlich Alexa haben. Aktiviert man diese zeichnet das Gerät alles auf, was man sagt und diese Daten werden dann von Samsung analysiert und in entsprechende Werbeempfehlungen umgesetzt.
Also BIG Samsung is watching you!
Und wer weiß, was unser Android oder Apple Smartphone unterwegs so alles aufzeichnet.
Der gläserne User, über den die Tech-Giganten alles wissen …
Übrigens: natürlich weiß ich auch, dass "soziale" Medien wie Instagram, YouTube, Facebook und andere ebenfalls das Nutzerverhalten auswerten und entsprechende Empfehlungen dem User anbieten. Was bei mir mitunter auch lästig wird, wenn Insta zum Beispiel weiß, dass ich mich für Politik auch aus den USA (Mr. T.) kritisch interessiere.
Die Branche kannst du aber ganz einfach zum Kotzen bringen; anstatt alles zu blocken scheiß sie mit Fakedaten zu: Coockiefaker; Reffererfaker User Agentchanger usw. Gib ihnen die Daten nach dennen sie gieren, nur eben Fake!
Millionen nutzlose Datensätze für die sie sogar zahlen… das nen ich trocken in den Ars*** gef****!
Nimm nen Proxy… der filtert dir alles raus und leitet den Shice aus ner Fakedatenbank an all die Schnüffelnasen… die vebrennen ihr Geld für nix!
Erstickt doch an den Daten!
Nur reagieren war gestern… heute schlägt man zurück!
>287 Chrome Extensions spionieren 37 Millionen Nutzer aus
>
Sollte egal sein, wenn man Chrome hat. Dann fließen Daten halt nicht nur zu Google sondern auch zu anderen Ad-Techs.
uBlock Origin hat *nur* auf Firefox die höchste Erkennungsrate. Und FF 148 kommt mit KI-Killswitch.
Apropos:
Bitte mal jeder nachdenken. Sollte Manifest v3 nicht alles Extensions super-hyper-mega sicher machen? Ich dachte v3 war für unsere Sicherheit! Nicht um uBlock Origin auf Chrome zu zerstören, sodass nur noch das kaputte uBlock "Light" geht.
Don't be evil!
Firmenmotto ✝ 2018
eeh alles Opfer die noch auf Broser Ebene blocken ;-P
Stimme ich zwar sofort halb zu, aber kosmetische Filter braucht man dennoch, sonst hat man viele weiße Lücken in der Seite die stören.
DNS basierte Filter gerade unter Android sind jedoch überlebensnotwendig, sollte man ein Opfer einer werbeverseuchten App sein ohne FLOSS alternative.
CSS…regelt… ist einmal Aufwand.
Auch dein Handy kann sich von überall per VPN auf den Proxy einklinken und hat dann Ruhe!
Ich wie schon gar nicht mehr wann ich das letzte mal eine Seite im "Orginal" gesehen habe…
…als käme man von aussen an alles ran…
Ich bräuchte eine Erweiterung die überprüft, ob ich eine dieser Erweiterungen installiert habe :-)
hahaha, war auch mein erster Gedanke :-D
Der Report von der github-Seite ist lustig:
"R9 How can I check if extension is leaking?"
1. Install the extension…
WTF?
soll ich zukünftig bei einen Virus, diesen auch erst installieren?
Hätte ich beim Lesen des Artikels Schuhe getragen, dann hätte es die mir ausgezogen. Nicht weil ich die Addons einsetze. Sondern weil ich es schlichtweg zum spucken finde, mit welchen Namen der Addons hier den Nutzern Sicherheit, bessere Funktionen und vieles mehr untergejubelt werden sollte. Da heißt es dann "shields Up, Scotty" und nur Addons einsetzen, die man wirklich braucht und die Datenschutz sicherstellen. Jetzt gilt es für mich nur noch zu entscheiden, ob ich Librewolf Firefox oder Waterfox zum Default Browser mache. Ein Chromium V2/V3 Browser wird es ganz bestimmt nicht. Ich bin gespannt, ob und wie die Deaktivierung von KI Komponenten im Firefox 148 greift.
Es gab da so eine Zeit der Toolleisten ab dem IE4… mit besonderen Exemplaren von Menschen, die es schafften, die obere Hälfte ihres Bildschirms mit diesen Yahoo, Ask, Google, (insert your WTF Bullshit Leiste here) zu belegen während der Inhalt der eigentlichen Website in den übigen 45% steckten, denn die letzten 5% war für die Statusleiste vorgesehen.
Das Abstraktions- geschweigedenn das Lernvermögen der Menschen scheint sich seitdem sich nicht zum Besseren gewandelt zu haben.
In Unternehmen erscheint es mir noch seltsamer, dass Admins die Installation von Addons nicht blockieren bzw. die tatsächlich benötigten nicht fest vorgeben.
Die meisten "WTF Bullshit Leisten" kamen durch irgendwelche sonstige Software, die ohne Sinn und Verstand installiert wurde und so einige Menschen wussten einfach nicht, ob/wie/dass man diese Leisten wieder loswerden kann. Dann blieben die eben da oben am Bildschirm bis zum nächsten PC-Kauf…
hihi… und beim nächsten PC-Kauf beschwerte man sich, da die Google-Leiste fehlte. x mal erlebt. (gut, wenigstens haben sich die Leute nicht beschwert, dass die anderen 815 Bars fehlten)
Das mit den schädlichen Addons wird langsam zu einer Seuche. Betriebssysteme, Anwendungen, vieles wird regelmäßig mit Sicherheitsupdates immer besser abgedichtet. Die Firmen trainieren ihre Mitarbeiter, Phishing, das durch alle Filter gerutscht ist, zu erkennen. Es wird also immer schwieriger, bei Firmen über die IT einzubrechen. Jetzt tut sich eine neue Lücke auf: Browseraddons. Viele Firmen benutzen zwar Applocker, WDAC, Application-Control vom Antivirus, haben noch nicht auf Whitelistening für Browser umgestellt, sondern blocken höchstens Addons, die sie auf keinen Fall haben wollen. Aber sperre mal per Group-Policy oder Intune-Admin-Center knapp 300 Addons?! Wenn man bei koi.ai mitliest, hat man in den letzten Wochen, wenn man fleißig ist, schonmal so viele gesperrt. Es wird also zwangsläufig dazu kommen, dass auch hier auf Whitelistening umgeschaltet wird. Das wiederum wird solche und beliebte seriöse Addons attraktiv machen, sie zu hacken.
Pivatleute machen sich da natürlich keine Gedanken und bekommen es nicht mal mit, dass sie Addons installiert haben, die ihre Nutzerdaten an Dritte ausleiten.
Am gefährdesten ist derzeit Chrome, weil er der beliebteste Browser ist. Edge kommt auf Platz zwei, einfach weil er überall auf Windows vorhanden ist und weil auf dem die gleichen Addons laufen, wie in Chrome. Firefox macht es einem dagegen richtig schwer, gezielt Addons zu sperren. Während man bei Chrome und Edge die nötige Addon-ID aus der URL der Addon-Store-Seite herauslesen kann, kann man das bei den Informationen eines Firefox-Addons nur unter höherem Aufwand herausfinden. Das muss bei Mozilla unbedingt verbessert werden.
Ps.: Schon bekannt, dass inzwischen auch das erste Outlook(-New) Addon aufgetaucht ist, welches Daten an Dritte ausleitet? Es ist wie bei einer Hydra, schlägt man einen Kopf ab, wachsen 2 Neue.
Whitelisting ist Enshitification pur und macht den PC nahezu unbtrauchbar. Das mag in tyloristischen Unternehmen noch halbwegs funktionieren, aber Unternehmen der Hochleister sorgt das für mächtig Frust und bremst Innovation und Wettbewerbsfähigkeit aus, weil die Talente dort mit dieser Gängelung einfach nicht arbeiten mögen. Ich rate dringend vom Whitelisting, Applocker u.Ä. ab. Das führt zur ück in die Zeiten des Terminals am Zentralrechner.
Darf ich mal lachen? Dich auslachen?
Du wirst ganz freiwillig Applocker und Extension-Whitelisting einschalten und den Microsoft Store deaktivieren, sobald der erste User durch selbst heruntergeladene Software deinen Laden stillgelegt hat.
Das Zauberwort heißt "Software-Freigabeprozess". Die Leute sollen fragen, ob sie eine Software oder ein Addon haben dürfen. Das wird dann erstmal untersucht, ob sich die Software sicher betreiben lässt, und wenn ja, dann bekommt der Anwender freigegeben und das auch installiert.
Ein weiteres Zauberwort, welches leider bislang in den meisten Fällen nur ein Wort ist, ist "Sandboxing" Anstatt nur die Entscheidung zu haben zwischen "Software nicht ausführen" und "Software mit allen Rechten des Benutzers ausführen" wird irgendwie nie die Alternative "Software ausführen, Ihr aber nichts erlauben" in Betracht gezogen, sowohl in der Linux als auch in der Windows Welt ist dies zwar prinzipiell möglich, aber die Möglichkeiten sind kaum dokumentiert und alles andere als benutzerfreundlich.
Ich bin nicht sicher – aber Sandboxing schützt doch nur davor, dass eine Schadsoftware aus der Umgebung ausbricht? Wenn ich ein Add-In verwende, muss ich diesem doch den Zugriff auf die betreffenden Funktionen / Daten erlauben. Wird das Add-In nachträglich mit Schadfunktionen ausgestattet, hilft mir die Sandbox doch nicht? Oder verstehe ich da was falsch?
Ja, mein Kommentar bezog sich allgemein auf Softwareinstallation bzw Freigabeprozess und Blacklisting vs Whitelisting. Ein Browser-addon sollte eigentlich schon auf den Browser limitiert sein in dem er installiert ist, aber kann halt auf alles zugreifen was man mit dem Browser macht.
Problem sind vielmehr die Programme, die man ganz normal installiert und die alle unnötiger Weise auf alles Zugriff haben auf das auch der Benutzer Zugriff hat, obwohl diese Rechte in vielen Fällen für die Funktionalität das Programms nicht benötigt werden.
Ist jetzt zugegebenermaßen etwas Off-Topic zum Artikel hier
Und weitere 30 Chrome-Erweiterungen… Sie wollen alle nur dein Bestes, deine Daten.
https://layerxsecurity.com/blog/aiframe-fake-ai-assistant-extensions-targeting-260000-chrome-users-via-injected-iframes/