Die meisten von uns d\u00fcrften irgendwann schon einmal eine oder mehrere Browser-Erweiterungen auf ihrem Rechner installiert haben, um den Browser an die ganz individuellen Bed\u00fcrfnisse anzupassen. Ob Online-\u00dcbersetzer, Werbeblocker, Passwort-Manager oder Rechtschreibpr\u00fcfung: Browser-Erweiterungen bieten reichlich Funktionen und M\u00f6glichkeiten, die das Surfen im Internet verbessern oder erleichtern.<\/p>\n
Aber haben Sie sich schon einmal gefragt, wie sicher die kleinen Helfer \u00fcberhaupt sind? Denn tats\u00e4chlich k\u00f6nnen Browser-Erweiterungen ein potentielles Sicherheitsrisiko darstellen, wenn sie nicht sorgf\u00e4ltig \u00fcberpr\u00fcft oder von vertrauensw\u00fcrdigen Quellen heruntergeladen wurden.<\/p>\n
In unserem heutigen Beitrag wollen wir \u00fcber das unbekannte Risiko sch\u00e4dlicher Browser-Erweiterungen berichten und einige von ihnen genauer unter die Lupe nehmen.<\/p>\n
<\/p>\n
Browser-Erweiterungen sind kleine Softwareprogramme oder Add-Ons, die in Webbrowsern installiert werden k\u00f6nnen, um deren Funktionen zu erweitern oder anzupassen. Sie erm\u00f6glichen es, bestimmte Funktionen und Features hinzuzuf\u00fcgen, um das Surferlebnis im Allgemeinen zu verbessern oder Aufgaben zu erleichtern.<\/p>\n
Browser-Erweiterungen werden in der Regel von Drittanbietern entwickelt und sind u.a. f\u00fcr die Browser Google Chrome, Mozilla Firefox, Microsoft Edge, Safari und andere verf\u00fcgbar. Jeder Browser hat seinen eigenen WebStore<\/a> oder Marktplatz, in dem Nutzende die Erweiterungen herunterladen und installieren k\u00f6nnen.<\/p>\n Damit Browser-Erweiterungen ordnungsgem\u00e4\u00df funktionieren, m\u00fcssen sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und \u00c4ndern von Inhalten von Webseiten. Diese Berechtigungen erm\u00f6glichen es den Erweiterungen, interaktiv mit den besuchten Webseiten zu interagieren und ihre Funktionen auszuf\u00fchren. Jedoch birgt gerade die Vergabe umfangreicher Berechtigungen auch ein Sicherheitsrisiko. Und je mehr Berechtigungen eine Browser-Erweiterung erh\u00e4lt, desto gr\u00f6\u00dfer ist auch das Potenzial f\u00fcr Missbrauch. Denn Cyberkriminelle k\u00f6nnen scheinbar harmlose Erweiterungen in tats\u00e4chliche Bedrohungen verwandeln: Solche b\u00f6sartige Browser-Erweiterungen k\u00f6nnen dann zum Beispiel sensible Benutzerdaten wie Passw\u00f6rter oder Zahlungsinformationen ausspionieren, auf gef\u00e4lschte Websites umleiten und Anmeldeinformationen stehlen, unerw\u00fcnschte Adware verbreiten und sogar die Opferrechner mit Malware infizieren.<\/p>\n <\/p>\n Schon seit einigen Jahren von Cyberkriminellen aktiv verbreitet werden b\u00f6sartige WebSearch-Adware-Erweiterungen. Getarnt sind sie als hilfreiche Tools f\u00fcr Office-Dateien, beispielsweise um Word-Dateien in PDF-Dateien zu konvertieren.<\/p>\n WebSearch-Erweiterungen sind Browser-Erweiterungen, die dazu dienen, die Suchfunktion des Browsers zu modifizieren oder zu erweitern. Sie k\u00f6nnen dazu verwendet werden, die Standard-Suchmaschine, die Suchergebnisseite oder die Browser-Startseite zu \u00e4ndern. In einigen F\u00e4llen k\u00f6nnen diese Erweiterungen legitime und n\u00fctzliche Funktionen bieten, indem sie beispielsweise spezielle Suchdienste integrieren oder benutzerdefinierte Suchvorschl\u00e4ge anzeigen. Allerdings sind viele WebSearch-Erweiterungen inzwischen f\u00fcr betr\u00fcgerische Aktivit\u00e4ten bekannt: Nach ihrer Installation ersetzen sie heimlich die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgten Affiliate-Links zu Drittanbieter-Ressourcen wie AliExpress oder Farfetch. Zudem \u00e4ndern sie auch die Standardsuchmaschine in search.myway. Dies erm\u00f6glicht es den Cyberkriminellen, die Suchanfragen ihrer Opfer zu \u00fcberwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu \u00fcberh\u00e4ufen oder sie auf unerw\u00fcnschte Websites umzuleiten.<\/p>\n Immerhin:<\/strong> WebSearch-Erweiterungen sind inzwischen nicht mehr im offiziellen Chrome-Store erh\u00e4ltlich. \u00dcber Drittanbieterquellen k\u00f6nnen sie aber noch heruntergeladen werden.<\/p>\n Bei Cyberkriminellen ebenfalls beliebt sind die Adware-Erweiterung der DealPly-Familie. Diese Erweiterungen werden in der Regel zusammen mit raubkopierten Inhalten von dubiosen Websites auf die Computer ihrer Opfer geschleust. Die Funktionsweise von DealPly-Erweiterungen \u00e4hnelt den WebSearch-Plug-ins. Nach der Installation ersetzen sie heimlich die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enth\u00e4lt. Zus\u00e4tzlich \u00e4ndern sie die Standardsuchmaschine des Browsers und verfolgen die Suchanfragen der Benutzer, um personalisierte Werbeanzeigen einzublenden.<\/p>\n Hauptziel dieser betr\u00fcgerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyberkriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern.<\/p>\n Die Erweiterungen der AddScript-Familie sind ein perfektes Beispiel daf\u00fcr, wie Cyberkriminelle legitime Technologien und Praktiken f\u00fcr illegale Zwecke missbrauchen k\u00f6nnen: Diese Erweiterungen pr\u00e4sentieren sich n\u00e4mlich als n\u00fctzliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizieren aber in Wirklichkeit das Ger\u00e4t ihres Opfers mit Schadsoftware. Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um k\u00fcnstlich die Aufrufzahlen zu erh\u00f6hen. Dies erzeugt Einnahmen f\u00fcr die Angreifenden, da einige Website-Anbieter:innen Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisten.<\/p>\n Und damit nicht genug: Die Kriminellen nutzen mit den AddScript-Erweiterungen die Cookie-Technologie, um noch mehr Geld zu verdienen. Normalerweise werden Cookies beim Besuch einer Website auf dem Ger\u00e4t des Nutzenden gespeichert und dienen als digitale Markierung, die anzeigt, woher er oder sie kommt. Affiliate-Websites verwenden diese Cookies, um Besucher:innen auf legitime Websites zu leiten und daf\u00fcr eine Geb\u00fchr zu erhalten. Soweit, so gut. Die AddScript-Entwickler missbrauchen jedoch dieses System, indem sie mehrere Cookies auf den infizierten Ger\u00e4ten ablegen. Diese Cookies werden dann als Markierungen verwendet, um vorzut\u00e4uschen, dass sie authentische Website-Besuchende an Partner weiterleiten. Im Gegenzug f\u00fcr jede:n weitergeleiteten Besucher:in erhalten die Betr\u00fcger eine Provision. In Wirklichkeit haben sie jedoch keine echten Kunden angeworben \u2013 ihre „Partner“-Aktivit\u00e4t besteht lediglich darin, Computer mit sch\u00e4dlichen Erweiterungen zu infizieren.<\/p>\n Die FB-Stealer-Familie ist eine weitere gef\u00e4hrliche Gruppe sch\u00e4dlicher Browser-Erweiterungen. Anstatt „Extras“ auf dem infizierten Ger\u00e4t zu laden, stehlen diese Erweiterungen wichtige Cookies \u2013 allen voran Sitzungscookies von Nutzenden des sozialen Netzwerks Facebook. Diese Sitzungscookies erm\u00f6glichen es normalerweise, sich automatisch bei jeder Website-Anmeldung einzuloggen, ohne jedes Mal das Passwort eingeben zu m\u00fcssen.<\/p>\n Indem die Angreifer diese Sitzungscookies stehlen, erhalten sie ohne jegliche Passwortabfrage Zugriff auf das Facebook-Konto ihres Opfers. Mit diesem Zugang k\u00f6nnen die Kriminellen dann verschiedene b\u00f6swillige Aktivit\u00e4ten ausf\u00fchren, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausf\u00fchren.<\/p>\n Die FB-Stealer-Erweiterung gelangt h\u00e4ufig zusammen mit dem Trojaner NullMixer auf das Ger\u00e4t des Opfers, welches sich NullMixer beim Download gehackter Software-Installer einf\u00e4ngt. Nach der Installation modifiziert der Trojaner die Datei, die zur Speicherung der Chrome-Einstellungen genutzt wird. Um ihre Identit\u00e4t zu verschleiern, gibt sich die FB-Stealer-Erweiterung als Google-Translate-Erweiterung aus. Das perfide dabei: Die Erweiterung sieht t\u00e4uschend echt aus! Lediglich die Warnung Ihres Browsers, dass der offizielle Store keine Informationen \u00fcber die Erweiterung hat, liefert einen Hinweis darauf, dass die vermeintliche Google-Translate-Erweiterung betr\u00fcgerischer Natur sein k\u00f6nnte.<\/p>\n Im Herbst letzten Jahres entdeckten Forschende von McAfee Labs sch\u00e4dliche Erweiterungen, die ihre Opfer auf Phishing-Seiten umleiten und Affiliate-IDs in die Cookies von E-Commerce-Websites einf\u00fcgen. Die Forschenden konnten f\u00fcnf Erweiterungen identifizieren, die bereits von mehr als 1,4 Millionen Nutzenden installiert wurden: Netflix Party, Netflix-Party 2, FlipShope \u2013 Preis-Tracker-Erweiterung, Full Page Screenshot Capture \u2013 Screenshotting und AutoBuy Flash Sales.<\/p>\n Diese Erweiterungen bieten eine Reihe verschiedener Funktionen, darunter das gemeinsame Anschauen von Netflix-Shows, das Erstellen von Screenshots von Websites und Website-Gutscheine. Soweit so gut, denn neben diesen beabsichtigten Funktionen verfolgen die Erweiterungen auch die Online-Aktivit\u00e4ten der Nutzenden: Jede besuchte Website wird unbemerkt an Server gesendet, die den Machern dieser Erweiterungen geh\u00f6ren. Auf diese Weise k\u00f6nnen sie Code in die besuchten E-Commerce-Websites einf\u00fcgen, der die Cookies auf der jeweiligen Website so ver\u00e4ndert, dass die Ersteller:innen dieser Erweiterungen eine Affiliate-Zahlung f\u00fcr jeden gekauften Artikel erhalten.<\/p>\n Die Security-Experten von Proofpoint, Inc. haben eine gef\u00e4hrliche Firefox-Erweiterung entdeckt, die von der, der chinesischen Regierung nahestehenden, so genannten APT-Gruppe TA413 verwendet wird, um tibetische Dissidenten zu \u00fcberwachen: Die auf den Namen „FriarFox“ getaufte Erweiterung erlaubt den Angreifenden den Zugriff auf die Gmail-Konten ihrer Opfer.<\/p>\n Verteilt wird die Erweiterung durch Phishing-E-Mails mit einem pr\u00e4parierten Link, der zu einer gef\u00e4lschten Landing Page mit einem vermeintlichen „Adobe Flash Player Update“ f\u00fchrt. Sobald das Opfer den Link anklickt, werden JavaScript-Dateien ausgef\u00fchrt, die pr\u00fcfen, ob das Opfer bestimmte Kriterien erf\u00fcllt \u2013 etwa, ob der Links mittels Firefox ge\u00f6ffnet wurde und ob eine aktive User Session in Gmail ausgef\u00fchrt wird. Ist dies der Fall, wird die FireFox-Browsererweiterung durch eine XPI-Datei installiert, die den Cyberkriminellen nahezu vollst\u00e4ndige Kontrolle \u00fcber die E-Mail Konten ihrer Opfer gew\u00e4hrt. Wir m\u00f6chten uns gar nicht ausmalen, was w\u00e4re, wenn (andere) Cyberkriminelle diese Technik nutzen, um sowohl \u00f6ffentliche als auch private Organisationen auf der ganzen Welt anzugreifen und Zugriff auf deren E-Mail Konten zu erhalten!<\/p>\n <\/p>\n Allein dieser kleine Exkurs in die Welt ganz realer, existierender sch\u00e4dlicher Browser-Erweiterungen, die pers\u00f6nliche Daten stehlen und betr\u00fcgerische Aktivit\u00e4ten ausf\u00fchren, zeigt, wie wichtig es ist, Erweiterungen sorgf\u00e4ltig auszuw\u00e4hlen und diese ausschlie\u00dflich aus vertrauensw\u00fcrdigen Quellen zu beziehen. Die regelm\u00e4\u00dfige Aktualisierung der Erweiterungen und die Verwendung von Sicherheitsl\u00f6sungen k\u00f6nnen ebenfalls dazu beitragen, das Risiko von Sicherheitsverletzungen zu minimieren und ein sicheres Browsen<\/a> zu gew\u00e4hrleisten.<\/p>\n <\/p>\nSch\u00e4dliche Browser-Erweiterungen<\/h2>\n
Betr\u00fcgerische WebSearch-Erweiterungen f\u00fcr Office-Dateien<\/h3>\n
Ungeliebtes Adware-Add-on DealPly<\/h3>\n
AddScript verteilt ungewollte Cookies<\/h3>\n
Cookie-Dieb \u201eFB Stealer\u201c<\/h3>\n
Verseuchte Chrome Erweiterungen<\/h3>\n
Firefox Browser-Plugin \u201eFriarFox\u201c greift auf Gmail-Konten zu<\/h3>\n
Fazit: Augen auf vor der Installation \u2013 Sie k\u00f6nnen sich sch\u00fctzen!<\/h2>\n
Was Sie tun k\u00f6nnen, um sich zu sch\u00fctzen:<\/h3>\n
\n