Google entfernt 500 schädliche Chrome-Erweiterungen

[English]Google hat 500 schädliche Erweiterungen für den Chrome-Browser aus seinem Web-Store entfernt, nachdem Sicherheitsforscher einen entsprechenden Hinweis gegeben haben.


Anzeige

Früher habe ich auch schon mal für Erweiterungen beim Chrome-Browser berichtet. Inzwischen bin ich aber ein Vertreter von 'weniger ist mehr', zu häufig musste ich von kompromittierten Android-Apps oder Browser-Erweiterungen berichten. Im Blogs versuche ich z.B. die Zahl der WordPress Plugins zu minimieren, in Browsern kommen überhaupt keine Erweiterungen zum Einsatz – und falls ich mal was benötige, sind diese nur für die Zeit des Einsatzes aktiviert.

Über obigen Tweet wurde ich auf einen neuen Fall aufmerksam, der Sophos-Sicherheitsforschern dokumentiert wurde. Entdeckt wurde das Ganze von der Sicherheitsforscherin Jamila Kaya, die das CRXcavator-Tool von Duo Security (ebenfalls unter CRXcavator.io erhältlich) verwendete, um eine Handvoll verdächtiger Chrome-Erweiterungen zu untersuchen. Die Erweiterung drehten sich meist rund um die Themen Marketing und Werbung.

Erste Spur: Code in Erweiterungen ist gleich

Als sie eine erste Spur hatte, ging sie der Sache nach. Dabei fiel beim Aufspüren fragwürdiger Erweiterungen auf, dass der Erweiterungscode oft wie eine Nachahmung des Codes weiterer Chrome-Extensions aussah, obwohl kleine Änderungen der Namen interner Funktionen dies verschleiern sollten. Eine weitere beunruhigende Ähnlichkeit war die Anzahl der beantragten Berechtigungen. Die Berechtigungen ermöglichten den Erweiterungen, Zugriff auf Browsing-Daten der Surfer zu bekommen und die Ausführung der Erweiterung beim Besuch von Websites mit HTTPS zu ermöglichen.


Anzeige

Eine ganze Sammlung an verdächtigen Extensions

In Zusammenarbeit mit Duo Security identifizierten die Sicherheitsforscherin schließlich 70 Erweiterungen, die miteinander in Beziehung zu stehen schienen. Alle kontaktierten auch ähnliche Kommando- und Kontrollnetzwerke und schienen dafür konzipiert zu sein, eine Sandbox-Analyse zu erkennen und ihr entgegenzuwirken.

Die Extension hatte Werbebetrug zum Ziel – wobei Domänen ohne Wissen der Benutzer kontaktiert wurden. Und es gab eine Umleitung von Benutzern zu Malware- und Phishing-Domänen. Viele dieser Extensions für den Chrome-Browser waren fast ein Jahr lang im Store aktiv, wobei einige nachweislich schon viel länger existierten.

Google entfernt die Erweiterungen

Nachdem Google von der Sicherheitsforscherin kontaktiert wurde, flogen die 500 Erweiterungen alle aus dem Store. Offenbar hat Google über die 70 ursprünglich gemeldeten Extensions als unerwünscht identifiziert. Denn nach dem Fund aktualisierte das Unternehmen seine Erkennungssignaturen. Google schreibt dazu:

Wir scannen den Store regelmäßig, um Erweiterungen mit ähnlichen Techniken, Codes und Verhaltensweisen zu finden, und nehmen diese Erweiterungen heraus, wenn sie gegen unsere Richtlinien verstoßen.

Aber im konkreten Fall haben diese Mechanismen wohl versagt. Der Chrome-Webshop von Google hat etwa 190.000 Erweiterungen, was die 500 jetzt entfernten dubiosen Erweiterungen relativiert. Ein Bericht von Extension Monitor vom August letzten Jahres schätzte, dass drei Viertel der 190.000 Extensions zwischen null und einer Handvoll Installationen aufweisen. Die von Duo Security und Kaya entdeckten Erweiterungen waren insgesamt 1,7 Millionen Mal installiert worden. Wer gerne solche Browser-Extensions einsetzt, sollte sich vergewissern, nicht solchen obskuren Anbietern auf den Leim zu gehen.


Anzeige

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Google entfernt 500 schädliche Chrome-Erweiterungen

  1. 1ST1 sagt:

    Microsoft scheit zu wissen, warum im Addon-Store von Chromium-Edge der Chrome-Store erstmal ausgeblendet ist. Wäre interessant zu untersuchen, wie hoch die Qualität im Chredge-Addon-Store ist.

    • Dekre sagt:

      na ja, seit wann ist Microsoft dort der Retter? Mit "bing" und angeschlossenes sind die auch des öfteren auf der negativen Skala.

      Macht denn nicht Chrome das regelmäßig? DIe letzte Meldung von Günter dürfte doch gar nicht so lange her sein.

  2. Ärgere das Böse! sagt:

    Wenn Google konsequent wäre, würde Google die Spyware "Android" vom Markt nehmen.

  3. Dr.Ne0Gen3tic (Forensic Bureau of Quantum Investigations Institute my Darling!) sagt:

    Ich suche schon Länger (Über 7 Jahre) nach schädlichen Chrome Erweiterungen und setze mein Wissen (Hobbymäßig) ein um schädliche Chrome Erweiterungen zu Identifizieren und der "CRXCavator Gatherer" (Kann ich jedem empfehlen der alle 3 Stunden alle deine Installierten Erweiterungen scannt damit helft ihr massiv Malware verhalten zu identifizieren, wenn ihr den Installiert! Der hat weder eine Gui noch verbraucht er viel RAM (so 50mb maximal), ist bei mir schon einige Jahre Installiert und das in 5 verschiedenen Browsern, die alle in einer Security-VM (Virtual Machine) Umgebung Tag und Nacht laufen, (aber dank Ryzen und meiner eigens entwickelten, PowerPläne, die je nach Auslastung und Anwendung meines Rechners, mit CPU Optimierungen und angepasster Lastverteilung, selbständig autonom gewechselt werden, sehr energiesparend mit einem Ryzen 3600 und einem undergevolted RX580 und 16 GB Crucial Ballistix 3600 Mhz (XMP) RAM).

    Ich kann nur sagen, dass sehr viele Chrome Erweiterungen, ein "Fake" Verhalten aufzeigen, welches "Malware Artiges" Verhalten zeigt. Zu dieser Erkenntnis bin ich gekommen, da einige Erweiterungen, wie hier beschrieben, vom Javascript Code extreme Ähnlichkeiten aufweisen. Das aber auch von der Ordnerstruktur da dessen Abweichungen teilweise nur 10-15% sind (nach meinen Berechnungen nach entpacken und vergleichen der CRX Dateien und des JS Codes und der weiteren Dateien) und faktisch ein und dieselbe Erweiterung sind, nur mit verschleierten und anders "umbenannten" JS und JSON, xml usw. etc. Dateien, also des CRX Inhaltes. Es sind eigentlich nur die gleichen Erweiterungen, aber sie werden so dargestellt, als wären es eigene Erweiterungen. Oft wird nur die GUI geändert, aber alles andere bleibt gleich. Die Funktionen werden umbenannt, machen aber das gleiche (Beispieldateien sind verfügbar). Oft wird auch der Webpack oder Polyfill Code manipuliert und es wird in diesem Code, leider oft, schädlicher Code eingebettet der z.B. Webseiten (oft mit einer "sleep" Funktion und sehr oft Obfuskiert und "Minified)" kontaktiert, welche teilweise schon auf diversen Sandboxes als schädlich und Malware Adressen klassifiziert wurden. Aber Googles Politik ist dafür verantwortlich, das diese nicht gefunden werden! Anscheinend ist das nicht gewollt!

    tl:dr
    Ausführliche Erklärung:
    Ich kann nur abschließend sagen, leider sind die Mechanismen von Google unzureichend und das stößt bei mir auf Unverständnis immerhin betreibt Google die Plattform "Virustotal" welche auch sehr viele fortschrittliche Technologien beinhaltet aber anscheinend sind diese "Firmen" also Virustotal so stark vom Webstore abgeschottet bzw. werden diese mit einer schon als "Firewall" (von mir) bezeichneten "Mauer" betrieben, dass die Erkenntnisse von Virustotal, leider nicht in den Webstore fliessen und übernommen werden (beweisen kann man das zur Genüge).

    Auch die Virustotal Maßnahmen sind noch lange nicht das technisch mögliche obere Ende der Fahnenstange und (leider) werden viele Dateien einfach nicht entpackt sondern "als Ganzes" nur per Signatur gescannt. Oder die Dateien (die entpackbar sind) werden teilweise entpackt, dann aber die entpackten Dateien, keiner dynamischen Analyse unterzogen, sondern nur statisch gescannt, was niemals ausreicht! Es sollten immer Diversitäten berücksichtigt und mit mehreren Maßnahmen gescannt, also konsolidierte, aber diverse maßnahmen angewendet werden! Das bedeutet und beinhaltet auch ein Scannen der URL Adressen in den dateien, die im Sandboxing verfahren, gefunden werden! Besser wäre ein Scannen bis Verschachtelungstiefe mindestens 25 und, dann ein, einzelnes, "Sandboxing" jeder verdammten Datei! Das können die doch wenigstens so einplanen, wenn nach ihren Analysen die Serverlast am geringsten ist. Virustotal hat ohnehin eine sehr stark limitierte Dateiratenbegrenzung, aber die Masse der Dateien, die dort eingehen sollte, wenn nach vernünftigen Maßstäben gescannt wird, locker ausreichen (wegen Duplikationen), um den kompletten Chrome Store weitestgehend (ich betone!) weitestgehend Malwarefrei zu bekommen! Es ist nicht das Problem der wenigen Daten, nein denn:

    Allein Googles Firmenpolitik ist dafür verantwortlich, dass dies (anscheinend!) garnicht gewollt ist, das bessere Erkennungsmaßnahmen angewendet und eingerichtet werden! (Das zeigt deren Verhalten bzw ist meine Schlussfolgerung!). Das Scannen bis Verschachtelungstiefe mind. 25 und ein Sandboxing, jeder Datei besonders der JS-Dateien und dann auch eine autonome Klassifizierung, dies mit jedem Dateityp Arten, auch ein YaRa Rule Scanning (was dort zumindest dies vernünftig einigermaßen läuft aber oft nur die Datei "als Ganzes" statt zu entpacken), ein Weiterleiten der Erkenntnisse des Sandboxings an die Antivirushersteller und ein dann, individuelles Anpassen der Signaturendatenbanken, nach positiven Funden und auch (ganz wichtig! ) das Teilen dieser Erkenntnisse mit dem Google Chrome Webstore Team und eine attraktivere Gestaltung für Malwareforscher, vernünftig geschultes Personal etc. das wären wirklich wichtige Maßnahmen! Die Technik ist mit Virustotal schon vorhanden, nur wird sie (vermutlich aus Effizienz- und Stromspar- bzw. auch Trafficgründen also Kostengründen!) einfach nicht vernünftig und weitreichend genug eingesetzt!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.