{"id":210147,"date":"2018-10-04T00:21:00","date_gmt":"2018-10-03T22:21:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210147"},"modified":"2023-12-10T13:44:48","modified_gmt":"2023-12-10T12:44:48","slug":"sicherheits-news-zu-google-chrome-erweiterungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/04\/sicherheits-news-zu-google-chrome-erweiterungen\/","title":{"rendered":"Sicherheits-News zu Google Chrome Erweiterungen"},"content":{"rendered":"

Heute noch ein Sammelbeitrag zu Erweiterungen (Chrome Extensions) f\u00fcr den Google Chrome-Browser. Es gab eine massive Phishing-Welle an Entwickler von Chrome-Extensions. Und in der kommenden Chrome Version 70 f\u00fchren die Entwickler eine neue Sicherheitsfunktion f\u00fcr Chrome-Extensions ein. Diese sollen solche Phishing-Angriffe wirkungslos machen. <\/p>\n

<\/p>\n

Extension-Entwickler Opfer von Phishing-Kampagne<\/h2>\n

\"\"Vom Benutzer installierte Chrome-Erweiterungen laufen direkt im Google Chrome und erhalten Zugriff auf alles, was der Nutzer im Browser macht. Ich verwende daher aktuell keinerlei Chrome-Erweiterungen, da ich in der Vergangenheit auch \u00fcber kompromittierte Erweiterungen berichtet habe (siehe Linkliste am Artikelende). <\/p>\n

Bisher war es so, dass Leute mit b\u00f6sen Absichten den Entwicklern von Chrome-Erweiterungen die Projekte abkauften. Nachdem dann ein paar Wochen ins Land gingen, wurde der Code der Chrome-Erweiterung mit Malware-Funktionen erg\u00e4nzt. Das ist aber aufw\u00e4ndig und langwierig.<\/p>\n

Vor einigen Tagen berichtete ZDnet.com in diesem Artikel<\/a> von einer massiven Phishing-Kampagne, die auf Entwickler von Chrome-Erweiterungen zielt. Die Kampagne versuchte, Entwickler dazu zu bringen, auf eine Phishing-Seite zuzugreifen. <\/p>\n

\"Phishing-Mail\"
(Phishing-Mail, Quelle: ZDnet.com)<\/p>\n

Zweck der Seite war es, die Anmeldeinformationen f\u00fcr die Google-Konten der Entwickler abzugreifen. Ein erfolgreicher Angriff, bei dem Zugangsdaten abgefischt werden konnten, erm\u00f6glicht den b\u00f6swilligen Akteuren, sich in die Chrome Web Store Dashboards einzuloggen. Dann lassen sich dort b\u00f6sartige Versionen legitimer Chrome-Erweiterungen einstellen. Alle Nutzer, die sich dann die Erweiterung installieren, erhalten die Malwarefunktionen in den Chrome-Browser. So etwas gab es bereits im Sommer 2017. Details zu dieser Kampagne finden sich in diesem ZDNet.com-Artikel<\/a>.<\/p>\n

Chrome 70 mit mehr Sicherheit f\u00fcr Extension<\/h2>\n

Host-Berechtigungen haben zwar Tausende von leistungsstarken und kreativen Erweiterungen erm\u00f6glicht. Aber die M\u00f6glichkeiten haben auch zu einem breiten Spektrum von Missbrauch – sowohl b\u00f6swilligen als auch unbeabsichtigten \u2013 gef\u00fchrt. Denn Chrome-Erweiterungen haben ja Zugriff auf die Daten der Websites und k\u00f6nnen diese automatisch zu lesen und zu \u00e4ndern. <\/p>\n

Das Ziel der Chrome-Entwickler ist es, wie sie hier schreiben<\/a>, die Transparenz f\u00fcr die Benutzer und die Kontrolle dar\u00fcber zu verbessern, wann Erweiterungen auf Standortdaten zugreifen k\u00f6nnen. In der kommenden Chrome Version 70 wollen die Entwickler des Browsers eine neue Sicherheitsfunktion f\u00fcr Chrome-Erweiterungen einf\u00fchren. Ab dieser Version erhalten Benutzer die M\u00f6glichkeit, den Zugriff der Chrome-Erweiterungen auf Webseiten \u00fcber Host-Berechtigungen auf eine benutzerdefinierte Liste von Websites zu beschr\u00e4nken oder Erweiterungen zu konfigurieren.<\/p>\n

\"Chrome-Extension-Option\"<\/a>
(Quelle: Chrome)<\/p>\n

\u00dcber einen neuen Men\u00fcbefehl l\u00e4sst sich vorgeben (siehe obiges Bild), ob die Erweiterung Daten aller Webseiten lesen und \u00e4ndern kann. Es kann aber auch vorgegeben werden, dass ein Klick auf die Extension erforderlich ist, um auf die Daten zuzugreifen. Weiterhin lassen sich Ausnahmeliste mit Webseiten f\u00fcr Zugriffe festlegen. <\/p>\n

Entwickler von Chrome-Extensions sollten daher diesen User Controls For Host Permissions: Transition Guide<\/a> lesen. <\/p>\n

\u00c4nderungen am Review-Prozess der Erweiterungen<\/h3>\n

In Zukunft werden Erweiterungen, die leistungsstarke Berechtigungen anfordern, einer zus\u00e4tzlichen Compliance-Pr\u00fcfung unterzogen. Die Chrome-Leute wollen Erweiterungen, die remote gehosteten Code verwenden und st\u00e4ndig \u00fcberwacht werden, sehr genau pr\u00fcfen. Die Berechtigungen von Chrome-Erweiterung sollten so eng wie m\u00f6glich gefasst sein. Der ganze Code sollte direkt in das Erweiterungspaket aufgenommen werden, um die \u00dcberpr\u00fcfungszeit durch Google zu minimieren.<\/p>\n

Erforderliche 2FA-Authentifizierung f\u00fcr Konten<\/h3>\n

Ab dem Jahr 2019 ist die Registrierung f\u00fcr die 2-stufige Verifizierung (2-Faktor-Authentifizierung) f\u00fcr Chrome Web Store Developer Accounts erforderlich. Damit will Google verhindern, dass Entwickler von popul\u00e4ren Chrome-Erweiterungen durch Phishing-Angriffe ausgetrickst werden und Betr\u00fcger an die Kontenzugangsdaten gelangen. Zudem empfiehlt Google f\u00fcr eine noch bessere Kontosicherheit das Advanced Protection Program. Der erweiterte Schutz bietet den gleichen Sicherheitsstandard, auf den Google f\u00fcr seine eigenen Mitarbeiter angewiesen ist, und erfordert einen physischen Sicherheitsschl\u00fcssel, um sich bestm\u00f6glich gegen Phishing-Angriffe zu sch\u00fctzen. Zu diesem Thema hatte ich was im Blog-Beitrag Google Titan Security Keys \u2013 Made in China<\/a> geschrieben. <\/p>\n

\u00c4hnliche Artikel<\/strong>
Google Titan Security Keys \u2013 Made in China<\/a> 
Vorsicht vor Chrome-Extensions mit Schadcode<\/a>
Rogue-Extensions hijacken Chrome und Firefox<\/a>
Chrome-Extension Archive-Poster verteilt Krypto-Miner<\/a>
Chrome-Erweiterung f\u00fcr Mega gehackt, stiehlt Anmeldedaten<\/a>
Browser AddOn Stylish f\u00fcr Chrome\/Firefox verbannt<\/a>
Mehr als 100.000 Rechner per Chrome-Erweiterungen infiziert<\/a>
Chrome-Erweiterung nutzt Session-Replay zur Spionage<\/a>
Google Chrome zeigt keine Tweets mehr an<\/a>
Gefahr durch (kompromittierte) Chrome-Erweiterungen<\/a>
Chrome Erweiterung CopyFish kompromittiert<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein Sammelbeitrag zu Erweiterungen (Chrome Extensions) f\u00fcr den Google Chrome-Browser. Es gab eine massive Phishing-Welle an Entwickler von Chrome-Extensions. Und in der kommenden Chrome Version 70 f\u00fchren die Entwickler eine neue Sicherheitsfunktion f\u00fcr Chrome-Extensions ein. Diese sollen solche … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[406,4328],"class_list":["post-210147","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210147"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210147\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}