6 Millionen Chrome-Nutzer betroffen: Erweiterungen mit versteckter Spionagefunktion enttarnt

20. April 2025

Forscher deckt gefährliches Netzwerk von Chrome-Erweiterungen auf

Ein Sicherheitsforscher hat ein weitreichendes Überwachungsnetz innerhalb des Chrome-Ökosystems enttarnt: Dutzende Chrome-Erweiterungen, teils offen im Chrome Web Store erhältlich, teils gezielt versteckt und nicht über Suchmaschinen auffindbar, enthalten geheime Tracking-Funktionen.

John Tuckner, Analyst beim Cybersicherheitsunternehmen Secure Annex, identifizierte insgesamt 57 Erweiterungen mit mehr als sechs Millionen Installationen. Diese Add-ons verfügen über weitreichende Zugriffsrechte und beinhalten versteckte, potenziell schadhafte Funktionen. Laut Tuckner können sie auf Cookies und Zugriffstoken zugreifen, das Surfverhalten überwachen, aus der Ferne Code ausführen und sensible Daten abgreifen.

„Es gibt ein erhebliches Potenzial für sogenannte Command-and-Control-Funktionen“, so der Forscher in einem aktuellen Bericht. Dazu gehören etwa das Auslesen häufig besuchter Websites, das Öffnen und Schließen von Tabs oder das gezielte Abrufen bestimmter Nutzungsdaten.

Besonders perfide: Die betroffenen Erweiterungen tarnen sich als harmlose Dienstprogramme – von Werbeblockern über Rabatt-Finder bis hin zu angeblichen Datenschutztools. Einige geben sogar vor, Nutzer vor genau jener Art von Bedrohung zu schützen, die sie selbst darstellen.

Gefährliche Chrome-Erweiterungen: Forscher kritisiert Intransparenz im Web Store

Die Recherchen von Sicherheitsforscher John Tuckner unterstreichen erneut, welches Risiko von Browser-Erweiterungen ausgehen kann. Besonders alarmierend: Ein Großteil der entdeckten Add-ons war nicht öffentlich gelistet – sie tauchen weder im Chrome Web Store noch in Suchmaschinen auf. Der Zugang ist nur über direkte Links möglich, die häufig über Malvertising-Kampagnen, Pop-ups, Phishing-Seiten oder gefälschte Update-Hinweise verbreitet werden.

Tuckner äußert scharfe Kritik an Googles Handhabung: „Es ist mir ein Rätsel, wie einige dieser Erweiterungen den Status ‚Empfohlen‘ erhalten konnten, obwohl sie für normale Nutzer gar nicht sichtbar sind. Das vermittelt fälschlicherweise den Eindruck von Sicherheit und geprüfter Seriosität. So etwas dürfte schlicht nicht vorkommen.“

Seine Untersuchung begann mit 35 nicht gelisteten, mutmaßlich schädlichen Erweiterungen, die er über eine falsch geschriebene URL-Domain („unknow[.]com“) entdeckte. In Zusammenarbeit mit Obsidian Security konnte die Liste um zahlreiche weitere Add-ons erweitert werden, die ähnliche verdächtige Verhaltensmuster zeigten. Wie das IT-Portal Bleeping Computer berichtet, wurde Google inzwischen über die Vorfälle informiert.

Zwar wurden einige der fraglichen Erweiterungen bereits aus dem Chrome Web Store entfernt, doch längst nicht alle. „Warum bleibt ein Teil davon weiterhin online? Diese Inkonsequenz ist schwer nachvollziehbar“, kommentiert Tuckner. Der Forscher beobachtet die Lage weiterhin und prüft, wie Google mit den gemeldeten Erweiterungen umgeht.

Die erste Erweiterung, die ich identifiziert habe, war „Fire Shield Extension Protection“ („Fire Shield Extension Protection“). Die nicht gelistete Erweiterung hat 300.000 Nutzer und eine Bewertung von 2,2. Es mag zwar schockierend sein, dass eine Erweiterung, die niemand finden kann, 300.000 Nutzer und eine schlechte Bewertung hat, aber dies entspricht in etwa dem aktuellen Zustand der Cyberhaven-Erweiterung im Web Store, bei der es sich um eine Unternehmenssoftware handelt.

Die Erweiterung „Fire Shield Extension Protection“ behauptet, „Ihre Erweiterungen zu überprüfen und sie nach den von ihnen verwendeten Berechtigungen aufzuschlüsseln. Sie warnt Sie, wenn bekannte problematische Erweiterungen vorhanden sind, und hilft Ihnen, diese zu deaktivieren“. Eine ziemlich neuartige Idee, von der ich selbst auch ein bisschen Ahnung habe …

Um diese Aufgabe zu erfüllen, würde die Erweiterung wahrscheinlich nur die API zur Verwaltung von Browser-Erweiterungen benötigen, um Erweiterungen aufzulisten, und könnte dann von dort aus eine passive Analyse durchführen. Diese Erweiterung verfolgt jedoch einen radikal anderen Ansatz. Werfen wir zunächst einen Blick auf die Manifestdatei.

Quelle: Secure Annex

Während die Verwaltungs-API angefordert wird, werden auch Zugriffsrechte für viele weitere Funktionen angefordert, die es ermöglichen, mit dem Webdatenverkehr auf allen URLs zu interagieren, auf den Cookie-Speicher zuzugreifen, Browser-Tabs zu verwalten und Skripte auszuführen!

Bevor wir uns zu sehr mit dem Code befassen, sehen wir uns zunächst die Analyse der Erweiterung durch Secure Annex AI an, die alle Aspekte der Erweiterung wie Nutzerbewertungen, Informationen und Malware-Signaturübereinstimmungen berücksichtigt, um zu erfahren, wo wir als Nächstes suchen müssen.

Quelle: Secure Annex

Dies bestätigt, dass die Berechtigungen zu weit gefasst sind, verweist uns auf einige externe URLs, die möglicherweise verwendet werden, und der Code greift auf gespeicherte Cookies zu, was ebenfalls mit der in Secure Annex integrierten YARA-Erkennung übereinstimmt. Eine ideale Voraussetzung für Probleme!

An dieser Stelle sollten diese Informationen für jedes Unternehmen ausreichen, um dies aus seiner Umgebung zu entfernen, da es ein unnötiges Risiko darstellt, aber ich hatte das Gefühl, dass hier noch mehr dahintersteckt.

Wenn ich mir die aus der Erweiterung extrahierten URLs ansehe, finde ich die in der Analyse erwähnten und einige weitere.

Quelle: Secure Annex

Sehen Sie es? Wenn man eine Weile im Sicherheitsbereich gearbeitet hat, springt einem ein Rechtschreibfehler in einer Domain sofort ins Auge, und unknow.com sieht einfach zu gut aus. Also habe ich das Untersuchungstool in Secure Annex verwendet, um alle bekannten Erweiterungen zu durchsuchen, die diese Domain enthalten.

Quelle: Secure Annex

35 einzigartige Erweiterungen mit unheimlich ähnlichen Namen™ haben dies in ihrem Hintergrunddienst-Worker konfiguriert. Jackpot. Das gibt uns einen vernünftigen Ausgangspunkt. Lustigerweise hat die Domain unknow.com keine Relevanz für den Code, ist aber unglaublich nützlich, um alle Erweiterungen miteinander zu verknüpfen!

Angesichts dieser großen Anzahl verwandter Erweiterungen war ich neugierig, ob der Permhash der Fire Shield-Erweiterung mit einem anderen exakt übereinstimmt. Ein Permhash ist ein Hash der angeforderten Berechtigungen in der Manifestdatei. Wenn also zwei Erweiterungen genau denselben Zugriff anfordern, kann dies ein gutes Indiz für verwandten Code sein.

Quelle: Secure Annex

Diese drei anderen Erweiterungen fordern genau denselben Zugriff, befinden sich in der Liste der 35 mit der Domain unknow.comund scheinen auf den ersten Blick nicht miteinander in Zusammenhang zu stehen. Bei der Durchsicht der anderen 34 Erweiterungen habe ich festgestellt, dass die Suche nach einem Permhash ein nützliches Werkzeug sein wird.

Tuckner veröffentlicht eine Liste mit Erweiterungen, die verdächtige Funktionen enthalten. Zu den beliebtesten gehören die folgenden Erweiterungen:

• Cuponomia – Coupon und Cashback: über 700.000 Installationen
• Fire Shield Extension Protection: über 300.000 Installationen
• Total Safety für Chrome: über 300.000 Installationen
• Browser Checkup for Chrome by Doctor: über 200.000 Installationen
• Protecto for Chrome: über 200.000 Installationen
• Browser WatchDog for Chrome: über 200.000 Installationen
• Securify for Chrome: über 200.000 Installationen
• Choose Your Chrome Tools: über 200.000 Installationen
• Securify Viewpoint Search: über 200.000 Installationen

Die mit den Erweiterungen verbundenen Domains verwenden ähnliche Schlüsselwörter. Der Bericht enthält eine vollständige Liste der Kompromittierungsindikatoren.

Woran lässt sich erkennen, dass die Erweiterungen bösartig sind?

Ein erster Hinweis auf potenziell schädliche Chrome-Erweiterungen liegt in ihren sogenannten Manifestdateien. Darin sind alle Berechtigungen aufgelistet, die eine Erweiterung benötigt. Laut Sicherheitsforscher John Tuckner ist besondere Vorsicht geboten, wenn einfache oder vermeintlich harmlose Erweiterungen übermäßig weitreichende Zugriffsrechte verlangen – etwa auf alle besuchten Webseiten, Cookies oder gespeicherte Zugangsdaten.

Ein weiteres Warnsignal war für Tuckner die Nutzung verdächtiger Domains, mit denen die Erweiterungen kommunizieren. Besonders auffällig: falsch geschriebene oder bewusst abgewandelte Internetadressen. „Wenn man schon länger im Bereich Cybersicherheit arbeitet, springen einem solche Fehler sofort ins Auge – und eine Domain wie ‚unknow[.]com‘ ist einfach zu sauber, um ein Zufall zu sein“, erklärt der Experte.

Verdacht auf Spyware: Verschleierter Code statt sinnvoller Funktion

Bei der Analyse der Erweiterungen stellte John Tuckner fest, dass der Code für die angeblich angebotenen Funktionen entweder äußerst rudimentär war – oder vollständig fehlte. Stattdessen fand der Forscher stark verschleierten Quellcode, der bei Sicherheitsexperten sofort Alarm auslöst.

„Allein die Möglichkeit, die Konfiguration der Erweiterung aus der Ferne zu steuern, kombiniert mit den verdächtigen Funktionen im Code, reicht aus, um diese Erweiterungen als Teil einer Spyware- oder Infostealer-Familie einzuordnen“, so Tuckner.

Eine tiefere Analyse offenbarte eine Vielzahl versteckter Funktionen: Dazu gehörten das Auslesen von Cookies, Nutzer-Tracking, die heimliche Umstellung des voreingestellten Suchanbieters sowie das Versenden von Anfragen mit speziellen Referral-Parametern – offenbar mit dem Ziel, Einnahmen zu generieren.

Alle betroffenen Erweiterungen wiesen dabei auffällig viele Gemeinsamkeiten auf: Sie nutzten dieselben Codemuster, identische Strukturen für Callback-Domains, griffen auf ein Netzwerk falsch geschriebener URLs zurück und verlangten identische, weitreichende Berechtigungen.

Originalquelle: Secure Annex

---

Bild/Quelle: https://depositphotos.com/de/home.html

---