Im Extension-System der Browser wie Chrome, Firefox, Opera, Safari etc. gibt es zwei ungepatchte Sicherheitslücken.
Anzeige
Die zwei Sicherheitslücken im Extension-System wurde durch Sicherheitsforscher entdeckt. Es betrifft faktisch alle Browser mit Erweiterungen (Browser Add-Ins). Über die Sicherheitslücken lassen sich alle im Browser installierten Erweiterungen abrufen.
Die ermöglicht einem Angreifer beispielsweise einen Fingerabdruck vom Browser des Nutzers zu erstellen und dessen Anonymität beim Surfen über VPN-Verbindungen oder Tor aufzudecken. Weiterhin lässt sich der Fingerabdruck auch verwenden, um auf den Benutzer zugeschnittene Werbeanzeigen auszurollen.
Die Lücken wurden von Forschern der Universität von Deusto (Spanien) und Eurecom (ein französisches Forschungszentrum) gefunden. Die erste Sicherheitslücke in den API-Funktionen beeinträchtigt das Extension-System von Chromium-basierenden Browsern wie Google Chrome, Opera, Yandex Browser und Comodo Dragon.
Das gleiche Extension-System mit der WebExtensions API wird auch von modernen Browsern wie Firefox, Edge, Vivaldi und Brave verwendet. Die Forscher glauben, auch ohne Tests, dass diese Browser angreifbar sind.
Anzeige
Normalerweise schützt die WebExtensions API Browser gegen den Versuch eines Angreifers eine Liste der installierten Extensions über die Einstellungen abzurufen. Webseiten können nicht auf die lokalen Einstellungsdateien zugreifen. Nur wenn die Datei manifest.json speziell konfiguriert ist, können diese Zugriffe erfolgen.
Die Forscher geben an, eine "timing side-channel attack on access control settings validation" genannte Angriffsmethode erstellen zu können. Dazu bombardieren die Forscher die API mit Anfragen zu installierten Extensions und messen die Zeit für die Antwort. Aus diesem Muster lässt sich schließen, welche Erweiterungen installiert sind.
Der Angriff funktionierte beim Google Chrome, Opera, Yandex Browser und Comodo Dragon. Bei Edge oder Firefox hat man nicht getestet, nimmt aber an, dass es auch funktioniert. Beim Apple Safari-Browser kommt eine URL-Leakage-Sicherheitslücke zu diesem Zweck ins Spiel. Diese Sicherheitslücken sind bisher nicht geschlossen. Weitere Details finden sich hier.
Anzeige
Ich denke, spätestens jetzt ist das Argument Mozillas, aus Sicherheitsgründen auf die Webextensions-API umstellen zu wollen, in Schall und Rauch aufgegangen. Immerhin basiert der TOR-Browser auf Firefox und darin ab Werk enthalten sind diverse Sicherheitserweiterungen. Ist immer doof, wenn man, ohne es selbst zu prüfen, etwas als sicher erklärt, weil man es unbedingt durchsetzen will.
"Die ermöglicht einem Angreifer beispielsweise einen Fingerabdruck vom Browser des Nutzers zu erstellen und dessen Anonymität beim Surfen über VPN-Verbindungen oder Tor aufzudecken. Weiterhin lässt sich der Fingerabdruck auch verwenden, um auf den Benutzer zugeschnittene Werbeanzeigen auszurollen. "
Das ist aber doch schon länger bekannt und nichts neues und wird schon seit langem dazu ausgenutzt um von deinem Browser mit deinen Extensions eine eindeutige Werbe ID zu erstellen.