Google Chrome-Erweiterungen haben den Browseralltag für viele Nutzer deutlich erleichtert und bieten eine Vielzahl von Funktionen, die das Surferlebnis verbessern. Doch was passiert, wenn genau diese Erweiterungen, denen Millionen von Menschen vertrauen, gravierende Sicherheitsmängel aufweisen? Cybersecurity-Forscher haben vor kurzem aufgedeckt, dass einige äußerst beliebte Chrome-Erweiterungen sensible Daten unverschlüsselt über das Internet übertragen und zum Teil Zugriffsschlüssel direkt im Quellcode einbetten. Diese Schwachstellen können erhebliche Auswirkungen auf die Privatsphäre und Sicherheit der Anwender haben. Die Alarmglocken schrillen besonders laut, weil es sich oft um Erweiterungen mit Hunderttausenden oder gar Millionen von Installationen handelt, die ein breites Publikum betreffen. Die Sicherheitsproblematik beginnt schon beim Transport der Daten.
Mehrere Extensions senden Nutzerdaten, darunter Browsing-Domains, eindeutige Gerätekennungen, Betriebssystemdetails und Nutzungsstatistiken über das veraltete und unsichere HTTP-Protokoll. Im Klartext und völlig ungeschützt können diese Informationen von Angreifern abgefangen, ausgelesen oder manipuliert werden. Ein öffentlicher Hotspot oder ein ungesicherter WLAN-Zugang wird so schnell zur Angriffsfläche für Man-in-the-Middle-Attacken. Neben der reinen Datenabgriffgefahr bietet unauthentifizierter Netzwerkverkehr auch die Chance, die übertragenen Inhalte verfälschen. Ein Angreifer könnte etwa die deinstallierte Erweiterung daran hindern, ihren Säuberungsprozess abzuschließen, indem er die URL manipuliert oder falsche Informationen einspeist.
Einige betroffene Erweiterungen sind bekannte Namen wie SEMRush Rank, PI Rank, Browsec VPN oder MSN New Tab. Allein aufgrund ihrer Popularität wäre man von einem hohen Sicherheitsstandard ausgegangen, der in der Realität jedoch vielfach fehlt. Weit besorgniserregender ist die Tatsache, dass manche Entwickler ihre Programme mit fest eingebauten Schlüsseln und Geheimnissen versehen haben. Durch das Verstecken von API-Keys, Tokens oder anderen sensiblen Zugangsdaten im JavaScript-Code machen sie es Angreifern äußerst einfach, diese zu extrahieren. So stellte sich etwa heraus, dass Extensions wie der Online Security & Privacy Add-on, AVG Online Security, Speed Dial [FVD] oder SellerSprite - Amazon Research Tool fest gespeicherte Google Analytics 4 API-Schlüssel enthalten.
Solche Keys sind nicht nur Identifikatoren, sondern ermöglichen potenziell auch Schadaktionen, etwa das Überfluten der Analytics-Endpunkte mit falschen Daten sowie Manipulationen bei der Besucherstatistik. Andere Beispiele verdeutlichen die Vielfalt der Risiken. Equatio – Math Made Digital trug einen Microsoft Azure API Key für Sprachfunktionen offen, was unter Umständen zu erhöhten Kosten für die Entwickler führen kann, wenn dieser missbräuchlich genutzt wird. Ebenso entpuppten sich Extensions wie Awesome Screen Recorder oder Scrolling Screenshot Tool & Screen Capture als_Verursacher von exponierten AWS-Zugangsdaten, die Zugriff auf Entwickler-Speicherlösungen erlauben. Selbst große Namen wie Microsoft Editor offenbarten ein API-Secret für Telemetriedaten, wodurch Benutzerdaten für Trackingzwecke ausgewertet werden.
Weiterhin wurde bei Antidote Connector ein Drittanbieter-Bibliotheksmodul namens InboxSDK gefunden, das selbst fest kodierte Zugangsdaten mitbringt. Da über 90 weitere Erweiterungen diese Bibliothek verwenden, ist der Zusammenhang und die potentielle Verbreitung des Problems enorm. Funktionen scheinen aber nicht immer direkt betroffen zu sein, wie Stellungnahmen von Herstellern wie Equatio oder Trust Wallet verdeutlichen. Beim genannten Azure-API-Schlüssel ist er beispielsweise streng limitiert und führt lediglich zu einem geringfügigen, akzeptierten Restrisiko. Trust Wallet wiederum bestätigte, dass der exponierte Ramp Network API Key nur zur Identifikation von Partnertransaktionen dient und keine sensible Nutzerdaten preisgibt.
Dennoch verdeutlicht dies, wie leichtfertig grundsätzlich mit Zugangsinformationen umgegangen wird. Die Folgen eines derartigen Missbrauchs sind vielschichtig. Wenn Angreifer Zugriff auf API-Schlüssel erlangen, können sie damit Systeme missbrauchen, um illegale Inhalte zu hosten, Nutzerdaten zu fälschen oder nicht autorisierte Transaktionen im Krypto-Bereich zu imitieren. Zudem entstehen für die betroffenen EntwicklerKosten durch erhöhte API-Nutzung und im schlimmsten Fall der Entzug oder die Sperrung von Accounts bei beliebten Dienstleistern. Ein Sicherheitsforscher der Symantec Security Technology and Response Abteilung betont daher die elementare Regel, keine sensiblen Informationen im Client-Code zu speichern und die Datenübertragung unbedingt über sichere HTTPS-Verbindungen abzuwickeln.
Entwickler sollten ihre API-Keys und Geheimnisse nur auf Backend-Servern zentral verwalten und mit speziell dafür vorgesehenen Credential-Management-Systemen arbeiten. Zudem sind regelmäßige Rotation und Überwachung solcher Schlüssel essentielle Maßnahmen zur Schadensbegrenzung. Für den Endnutzer ist es ratsam, besonders bei Erweiterungen mit außergewöhnlich vielen Berechtigungen oder unbekannten Entwicklern vorsichtig zu sein. Werden regelmäßige Updates veröffentlicht, in denen auf Sicherheitsprobleme eingegangen wird, ist das positiv. Andernfalls empfiehlt sich das Entfernen der betroffenen Erweiterungen bis offizielle Patches verfügbar sind.
Auch das Überprüfen der Netzwerkanfragen mit Entwickler-Tools liefert im Zweifel Hinweise, ob Daten über ungesicherte Verbindungen gesendet werden. Sicherheitsbewusste Anwender sollten zusätzlich auf Alternativen ausweichen, die von verifizierten Entwicklern stammen und idealerweise Open Source sind, sodass Dritte den Code auditieren können. Das Thema Sicherheit bei Browser-Erweiterungen gewinnt immer mehr an Bedeutung. Die hier geschilderten Risiken zeigen exemplarisch, wie Angriffe durch einfache Fehler in der Softwareentwicklung ermöglicht werden. Gerade bei Erweiterungen, die auf große Nutzerzahlen und hohe Klickzahlen vertrauen, darf eine lückenhafte Absicherung nicht toleriert werden.
