Studie: Mehr als ein Drittel der Chrome-Erweiterungen fordern Zugang zu Nutzerdaten

Der US-Sicherheitsanbieter Duo Labs hat eine Studie über Erweiterungen für den Google-Browser Chrome veröffentlicht. Demnach fordert mehr als die Hälfte der insgesamt 120.000 untersuchten Erweiterungen die Berechtigung ein, alle Daten eines Nutzers auf beliebigen Websites zu lesen. Was sie mit den Daten machen, lassen indes 85 Prozent der Erweiterungen offen – nur 15 Prozent verfügen über eine Datenschutzrichtlinie.

Die Untersuchung ergab außerdem, dass 77 Prozent der Chrome-Erweiterungen keine Support-Website angeben. Dafür setzen 32 Prozent JavaScript-Bibliotheken von Drittanbietern ein, in denen öffentlich bekannte Sicherheitslücken stecken, die die Erweiterungen und damit die Browser der Nutzer angreifbar machen. Neun Prozent der Erweiterungen sind in der Lage, Cookies zu lesen, die unter Umständen sogar Anmeldedaten enthalten.

Ausgeführt wurde die Studie mithilfe eines neu entwickelten Online-Diensts namens CRXcavator. Er erlaubte es den Forschern von Duo Labs, den gesamten Chrome Web Store zu scannen und den Quellcode sowie die Einträge von 120.463 Chrome-Erweiterungen zu prüfen.

Unter anderem schauten sich die Forscher an, welche Berechtigungen die Erweiterungen abfragen, mit welchen externen Domains sie kommunizieren und ob sie als unsicher eingestufte Bibliotheken verwenden. Außerdem wollten sie wissen, ob die Erweiterungen auf OAuth2-Daten zugreifen und ob in ihren Einträgen im Chrome Web Store Hinweise auf eine Datenschutzrichtlinie beziehungsweise den verantwortlichen Entwickler zu finden sind.

Nutzer können über das CRXcavator-Portal einen Sicherheitsbericht zu den von ihnen installierten Chrome-Erweiterungen abrufen. Sollte ein Add-on nicht enthalten sein, können sie dessen ID einreichen und einen Scan ausführen. Unternehmen steht zudem die Chrome-Erweiterung CRXcavator Gatherer zur Verfügung, um Daten über die von Mitarbeitern eingesetzten Erweiterungen zu sammeln. Die Daten können anschließend über das CRXcavator-Portal geprüft werden. Dabei wird ein Risiko-Score für jede Erweiterung ermittelt, was es erlaubt, bestimmte Add-ons gezielt zu deaktivieren.

Die Erweiterung erlaubt es Nutzern aber auch, die Installation einer Erweiterung zu beantragen. Systemadministratoren erhalten die Anfrage und können nach Prüfung des Risiko-Scores der Erweiterung deren Installation genehmigen oder ablehnen.

Browsererweiterungen haben sich zu einem möglichen Einfallstor für Malware entwickelt, was auch dem Umstand geschuldet ist, dass Chrome inzwischen einen Marktanteil von mehr als 60 Prozent hat. Beispielsweise kaufen Hacker Erweiterungen, deren ursprüngliche Entwickler das Interesse an der Erweiterung verloren haben. Solche Erweiterungen werden dann für Spear-Phishing-Angriffe benutzt, um Schadcode in ein Unternehmensnetzwerk einzuschleusen.