Sicherheitsrisiken in vielen Browser Erweiterungen entdeckt
In fast 50% von 1000 untersuchten Browser-Erweiterungen befanden sich Fehler, die es Angreifern erlauben die Kontrolle über Browser Erweiterungen bzw. Konten bei anderen Anbietern zu übernehmen.
Browser-Extensions oder auch Browser-Erweiterungen sind Programme, die die Standardfunktionalität oder das Verhalten von Webbrowsern nahezu beliebig erweitern oder modifizieren können. Dies ermöglicht es, die Benutzerfreundlichkeit von Browsern zu steigern oder Funktionen nur gewissen Nutzergruppen bereitzustellen. Bekannte Beispiele für Browser-Extensions sind Werbeblocker, Browser-Toolbars oder auch Passwort-Manager. Durch einfachen Zugriff auf sensible Daten (z. B. Cookies) stellen Browser Erweiterungen allerdings ein mögliches Angriffsziel dar.
Aus diesem Grund hat A-SIT am Beispiel Google Chrome mit einem dafür entwickelten, automatisierten Analyseprogramm die Top 1000 Erweiterungen im Google Chrome Web Store auf potentiell sicherheitsrelevante Fehler analysiert. Besonderer Fokus wurde dabei auf Fehler in gutartigen Erweiterungen gelegt. Dabei hat sich gezeigt, dass rund 50% der untersuchten Erweiterungen eine oder mehrere externe Programmbibliotheken verwenden, die zum Teil schwerwiegende Sicherheitslücken aufweisen. Außerdem wurden vermehrt Geheimnisse (wie Amazon AWS Zugriffstokens) sowie Passwörter und Benutzernamen gefunden, die es einem Angreifer unter Umständen erlauben können, Zugriff auf Accounts zu erhalten. Die Analyse zeigt auch, dass ca. 80% der untersuchten Erweiterungen zumindest eine URL aufweisen, die auf die Verwendung einer unverschlüsselten Verbindung hindeutet. Die festgestellten Beobachtungen stellen zwar nicht notwendigerweise jeweils eine Sicherheitslücke dar, zeigen aber deutlich, dass Browser Erweiterungen durchaus sicherheitsrelevant sind.
Um Rückschlüsse auf die untersuchten Erweiterungen bzw. derer potentieller Schwachstellen zu verhindern, werden die Ergebnisse in der Studie nur statistisch präsentiert. Die Studie soll außerdem Entwicklern dazu dienen, häufige Fehler zu vermeiden. Das veröffentliche Analyse Tool stellt dabei ein zusätzliches Hilfsmittel zur korrekten Entwicklung von Erweiterungen dar. Die vollständige Studie, sowie das Analyseprogramm sind auf dem Blog von A-SIT verfügbar.
Weitere Informationen
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria