{"id":228337,"date":"2020-02-17T17:00:41","date_gmt":"2020-02-17T16:00:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228337"},"modified":"2020-02-17T17:33:23","modified_gmt":"2020-02-17T16:33:23","slug":"google-entfernt-500-schdliche-chrome-erweiterungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/17\/google-entfernt-500-schdliche-chrome-erweiterungen\/","title":{"rendered":"Google entfernt 500 sch&auml;dliche Chrome-Erweiterungen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Chrome.jpg\" align=\"left\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/17\/google-removes-500-malicious-chrome-extensions\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Google hat 500 sch\u00e4dliche Erweiterungen f\u00fcr den Chrome-Browser aus seinem Web-Store entfernt, nachdem Sicherheitsforscher einen entsprechenden Hinweis gegeben haben. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg02.met.vgwort.de\/na\/a2f2faa1b3cd4a8cb8ec21e79361e808\" width=\"1\" height=\"1\"\/>Fr\u00fcher habe ich auch schon mal f\u00fcr Erweiterungen beim Chrome-Browser berichtet. Inzwischen bin ich aber ein Vertreter von 'weniger ist mehr', zu h\u00e4ufig musste ich von kompromittierten Android-Apps oder Browser-Erweiterungen berichten. Im Blogs versuche ich z.B. die Zahl der WordPress Plugins zu minimieren, in Browsern kommen \u00fcberhaupt keine Erweiterungen zum Einsatz \u2013 und falls ich mal was ben\u00f6tige, sind diese nur f\u00fcr die Zeit des Einsatzes aktiviert. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Google pulls 500 malicious Chrome extensions after researcher tip-off <a href=\"https:\/\/t.co\/jdp3WOgSiq\">https:\/\/t.co\/jdp3WOgSiq<\/a><\/p>\n<p>\u2014 Naked Security (@NakedSecurity) <a href=\"https:\/\/twitter.com\/NakedSecurity\/status\/1229376949824507904?ref_src=twsrc%5Etfw\">February 17, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>\u00dcber obigen Tweet wurde ich auf einen neuen Fall aufmerksam, der <a href=\"https:\/\/nakedsecurity.sophos.com\/2020\/02\/17\/google-pulls-500-malicious-chrome-extensions-after-researcher-tip-off\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sophos-Sicherheitsforschern dokumentiert<\/a> wurde. Entdeckt wurde das Ganze von der Sicherheitsforscherin Jamila Kaya, die das CRXcavator-Tool von Duo Security (ebenfalls unter CRXcavator.io erh\u00e4ltlich) verwendete, um eine Handvoll verd\u00e4chtiger Chrome-Erweiterungen zu untersuchen. Die Erweiterung drehten sich meist rund um die Themen Marketing und Werbung.<\/p>\n<h2>Erste Spur: Code in Erweiterungen ist gleich<\/h2>\n<p>Als sie eine erste Spur hatte, ging sie der Sache nach. Dabei fiel beim Aufsp\u00fcren fragw\u00fcrdiger Erweiterungen auf, dass der Erweiterungscode oft wie eine Nachahmung des Codes weiterer Chrome-Extensions aussah, obwohl kleine \u00c4nderungen der Namen interner Funktionen dies verschleiern sollten. Eine weitere beunruhigende \u00c4hnlichkeit war die Anzahl der beantragten Berechtigungen. Die Berechtigungen erm\u00f6glichten den Erweiterungen, Zugriff auf Browsing-Daten der Surfer zu bekommen und die Ausf\u00fchrung der Erweiterung beim Besuch von Websites mit HTTPS zu erm\u00f6glichen.<\/p>\n<h2>Eine ganze Sammlung an verd\u00e4chtigen Extensions<\/h2>\n<p>In Zusammenarbeit mit Duo Security identifizierten die Sicherheitsforscherin schlie\u00dflich 70 Erweiterungen, die miteinander in Beziehung zu stehen schienen. Alle kontaktierten auch \u00e4hnliche Kommando- und Kontrollnetzwerke und schienen daf\u00fcr konzipiert zu sein, eine Sandbox-Analyse zu erkennen und ihr entgegenzuwirken.<\/p>\n<p>Die Extension hatte Werbebetrug zum Ziel \u2013 wobei Dom\u00e4nen ohne Wissen der Benutzer kontaktiert wurden. Und es gab eine Umleitung von Benutzern zu Malware- und Phishing-Dom\u00e4nen. Viele dieser Extensions f\u00fcr den Chrome-Browser waren fast ein Jahr lang im Store aktiv, wobei einige nachweislich schon viel l\u00e4nger existierten.<\/p>\n<h2>Google entfernt die Erweiterungen<\/h2>\n<p>Nachdem Google von der Sicherheitsforscherin kontaktiert wurde, flogen die 500 Erweiterungen alle aus dem Store. Offenbar hat Google \u00fcber die 70 urspr\u00fcnglich gemeldeten Extensions als unerw\u00fcnscht identifiziert. Denn nach dem Fund aktualisierte das Unternehmen seine Erkennungssignaturen. Google schreibt dazu:<\/p>\n<blockquote>\n<p>Wir scannen den Store regelm\u00e4\u00dfig, um Erweiterungen mit \u00e4hnlichen Techniken, Codes und Verhaltensweisen zu finden, und nehmen diese Erweiterungen heraus, wenn sie gegen unsere Richtlinien versto\u00dfen.<\/p>\n<\/blockquote>\n<p>Aber im konkreten Fall haben diese Mechanismen wohl versagt. Der Chrome-Webshop von Google hat etwa 190.000 Erweiterungen, was die 500 jetzt entfernten dubiosen Erweiterungen relativiert. Ein Bericht von Extension Monitor vom August letzten Jahres sch\u00e4tzte, dass drei Viertel der 190.000 Extensions zwischen null und einer Handvoll Installationen aufweisen. Die von Duo Security und Kaya entdeckten Erweiterungen waren insgesamt 1,7 Millionen Mal installiert worden. Wer gerne solche Browser-Extensions einsetzt, sollte sich vergewissern, nicht solchen obskuren Anbietern auf den Leim zu gehen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Google hat 500 sch\u00e4dliche Erweiterungen f\u00fcr den Chrome-Browser aus seinem Web-Store entfernt, nachdem Sicherheitsforscher einen entsprechenden Hinweis gegeben haben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[406,4328],"class_list":["post-228337","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228337"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228337\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}