Zwei Studien decken Risiken auf
Gefährliche Chrome-Add-ons spähen Daten aus
Sicherheitsforscher berichten über zwei groß angelegte Untersuchungen zu Chrome-Erweiterungen. Demnach sollen zahlreiche Add-ons sensible Nutzerdaten abgreifen. Betroffen sind Hunderttausende bis Millionen Installationen.
"AirFrame"-Kampagne mit über 260.000 InstallationenNach Angaben der Sicherheitsforscher von LayerX sollen mehr als 30 Chrome-Erweiterungen Teil einer koordinierten Kampagne sein. Die Add-ons seien unter verschiedenen Namen und Kennungen veröffentlicht worden, basierten jedoch auf derselb...
"AirFrame"-Kampagne mit über 260.000 Installationen
Nach Angaben der Sicherheitsforscher von LayerX sollen mehr als 30 Chrome-Erweiterungen Teil einer koordinierten Kampagne sein. Die Add-ons seien unter verschiedenen Namen und Kennungen veröffentlicht worden, basierten jedoch auf derselben technischen Grundlage. Insgesamt seien sie mehr als 260.000 Mal installiert worden, einige davon zeitweise sogar mit einer „Featured“-Kennzeichnung im Chrome Web Store.
Als Lockmittel hätten die Betreiber bekannte KI-Namen wie ChatGPT, Claude, Gemini oder Grok verwendet. Die Erweiterungen seien unter anderem als Assistenten zum Schreiben, Zusammenfassen oder als Gmail-Helfer beworben worden. Laut LayerX handle es sich jedoch nicht um eigenständige Werkzeuge, sondern um eine zentral gesteuerte Infrastruktur.
Serverseitige Steuerung statt lokaler Logik
Die analysierten Erweiterungen sollen wesentliche Funktionen nicht lokal im Browser ausführen, sondern Inhalte von externen Servern nachladen. Dieses Konstrukt ermögliche es den Betreibern, das Verhalten der Erweiterungen nachträglich zu verändern, ohne dass eine erneute Prüfung durch den Chrome Web Store erforderlich sei. Laut den Forschern könnten so Teile der üblichen Sicherheitsmechanismen umgangen werden.
Die Add-ons fungierten dabei als eine Art Proxy mit erweiterten Rechten. Sie könnten demnach auf Inhalte des aktuell geöffneten Browser-Tabs zugreifen und diese an entfernte Server übertragen. Als zentrale Infrastruktur nennen die Experten die Domain tapnetic[.]pro, über die verschiedene Subdomains angesprochen würden. Eine bereits entfernte Erweiterung sei laut LayerX kurze Zeit später unter neuer Kennung erneut im Store aufgetaucht. Die Forscher sprechen in diesem Zusammenhang von „Extension Spraying“ – einer Methode, bei der identische Erweiterungen unter wechselnden Namen veröffentlicht werden.
Zweite Studie: 287 Erweiterungen mit Datenabfluss
Auch eine unabhängige Forschungsgruppe mit dem Namen „Q Continuum“ hat Chrome-Erweiterungen untersucht. In einem automatisierten Verfahren seien rund 32.000 der populärsten Add-ons analysiert worden. Ziel sei es gewesen, auffälligen Datenverkehr zu identifizieren.
Die Forscher haben dazu einen Chrome-Browser in einer isolierten Umgebung betrieben und den ausgehenden Netzwerkverkehr überwacht. Auf diese Weise seien 287 Erweiterungen identifiziert worden, die mit hoher Wahrscheinlichkeit Browser-Verläufe oder ähnliche Informationen weiterleiten. Laut „Q Continuum“ summieren sich deren Installationen auf rund 37,4 Millionen.
Nicht jede Datenübertragung ist automatisch bösartig
Die Forscher weisen darauf hin, dass nicht jede Datenübertragung zwangsläufig eine kriminelle Absicht belege. Einige Erweiterungen könnten URLs etwa zur Reputationsprüfung an Hersteller-Server senden. Gleichzeitig verweisen die Forscher auf frühere Fälle, in denen gesammelte Daten zu Werbe- oder Analysezwecken weiterverkauft wurden.
Browser-Erweiterungen gelten seit Jahren als potenzielles Einfallstor für Datensammlung und Missbrauch. Nutzer sollten sich deshalb genau überlegen, welche Add-ons sie tatsächlich benötigen und auch regelmäßig nicht mehr genutzte Browser-Erweiterungen löschen.
