Fast 200 Erweiterungen für Chrome und Firefox für Datendiebstahl anfällig

Zahlreiche Erweiterungen für die Browser Chrome, Firefox und Opera lassen sich für den Diebstahl von Nutzerdaten missbrauchen. Das hat Dolière Francis Somé herausgefunden, Forscher an der Université Côte d’Azur sowie am nationalen Forschungsinstitut Inria. Angreifer erhalten unter Umständen Zugriff auf Lesezeichen, den Browserverlauf und sogar Cookies – letztere erlauben es womöglich, eine aktive Dienstanmeldung und somit E-Mail-, Cloud- oder gar geschäftliche genutzte Konten zu übernehmen.

Mit einem von ihm entwickelten Tool untersuchte Somé mehr als 78.000 Erweiterungen für Chrome, Firefox und Opera. Bei 197 Erweiterungen stellte er fest, dass sie interne Programmierschnittstellen für Web-Anwendungen zugänglich machten, was schädlichen Websites einen direkten Weg zu im Browser gespeicherten Daten öffnet – Daten, die eigentlich nur der Code der Erweiterung und auch nur mit den korrekten Berechtigungen einsehen dürfte.

Zur großen Überraschung des Forschers waren nur 15 der anfälligen 197 Erweiterungen Entwicklerwerkzeuge. In dieser Kategorie hatte Somé die meisten fehlerhaften Add-ons erwartet, da Entwicklertools in der Regel die vollständige Kontrolle über einen Browser haben. 81 Erweiterungen sollten die Produktivität verbessern, 48 fielen in die Kategorie Soziale Medien und Kommunikation. Zudem hatten 55 Prozent der anfälligen Erweiterungen weniger als 1000 Installationen. Mehr als 15 Prozent waren jedoch in mehr als 10.000 Browsern integriert.

Die Browserhersteller informierte Somé bereits Anfang Januar. „Alle Anbieter haben die Probleme bestätigt“, erklärte der Forscher. „Firefox hat alle gemeldeten Erweiterungen entfernt.“ Opera habe ebenfalls alle fraglichen Add-ons gelöscht, bis auf zwei Erweiterungen, die Zugriff auf Downloads geben. Mit Google sei man noch im Gespräch über die erforderlichen Maßnahmen, um die Erweiterungen entweder zu löschen oder die Schwachstellen zu schließen.

Nutzern stellt Somé zudem ein webbasiertes Tool zur Verfügung, mit dem sie nach anfälligen APIs in ihren Browsererweiterungen suchen können. Allerdings ist es erforderlich, zuvor die Manifest.json-Datei der Erweiterung auf dem eigenen Rechner zu finden, um deren Inhalt per Copy and Paste auf Somés Seite einzufügen.

Eine vollständige Liste aller betroffenen Erweiterungen findet sich in Somés Forschungsbericht (PDF). Von den 197 Erweiterungen sind 171 für Chrome, 16 für Firefox und 10 für Opera erhältlich. Die meisten Erweiterungen geben Daten preis oder erlauben das Speichern von Daten. Sie lassen sich aber auch für die Umgehung der Same-Origin-Policy nutzen, was wiederum Cross-Site-Request-Forgery-Angriffe ermöglicht. 19 der 187 Erweiterungen erlauben das Einschleusen und Ausführen von Schadcode.