X

Vorsicht: Sicherheitslücke durch manipulierte Google Chrome Extensions

Erst im Oktober vergangenen Jahres hatte ein Bericht für Auf­merk­sam­keit gesorgt, der belegte, dass gefälschte Google Chrome-Erweiterungen problemlos in den Web Store kommen können. Nun gibt es ein Problem mit Chrome-Erweiterungen, die unbemerkt betrügerischen JavaScript-Code im Browser injizieren.
Icebrg
17.01.2018  20:40 Uhr
Marktanteile Chrome, Firefox, Internet Explorer Infografik: Marktanteile Chrome, Firefox, Internet Explorer

Schadcode nachgewiesen

Es geht dabei im Grunde um vier Google Chrome-Erweiterungen, bei denen die Sicher­heits­forscher von Icebrg eine Injizierung von Schadcode nachweisen konnten. Auf die Spur der betrügerischen Extensions kam Icebrg durch Zufall bei einem Kunden. Bei diesem hatte eine der Erweiterungen verdächtigen ausgehenden Netzwerkverkehr ausgelöst. Die Chrome-Erweiterung namens HTTP Request Header hatte auf einem Rechner im Hintergrund ständig Werbelinks angeklickt. Die Entwickler versuchen mit den generierten Klicks Werbeeinahmen zu generieren - ein typischer Click-Fraud.

Vier Chrome-Erweiterungen mit dem Click-Fraud-Trick gefunden

Später entdeckten die Forscher dann die drei weiteren Chrome-Erweiterungen Nyoogle, Stickies und Lite Bookmarks die mit dem gleichen Trick arbeiten.

Da die Erweiterungen im Hintergrund JavaScript-Code einfügen und ausführen können, ist eine weitere Bedrohung nicht ausgeschlossen. Laut den Forschern von Iceberg könnten die bösartigen Add-ons genauso leicht dazu benutzt werden, die Personen oder Unternehmen auszuspionieren.

500.000 Betroffene

Die betrügerischen Google Chrome-Erweiterungen wurden bereits über eine halbe Million Mal heruntergeladen. Es könnte somit nun also rund 500.000 betroffene Google Chrome-Nutzer geben, die sich das Sicherheitsproblem unbemerkt auf ihren Rechner geholt haben.

Google hat bereits gehandelt und diese Erweiterungen nach der Meldung durch Icebrg gleich aus dem Store entfernt. Nutzer die eine der Extensions installiert haben, müssen nun aber selbst tätig werden.

Microsoft testet Edge-Browser erneut im Laufzeittest gegen Chrome
videoplayer00:41

Verwandte Themen
Chrome
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture