DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

A-Sit Studie zu Sicherheit in Browser Exten­sions

Sicher­heits­ri­siken in vielen Browser Erwei­te­rungen

Eine A-SIT Analyse ergab: In fast 50 Prozent von 1000 unter­suchten Browser Erwei­te­rungen fanden sich ver­altete Biblio­theken oder sicher­heits­re­le­vante Fehler, die es Angreifern unter Umständen erlauben, die Kon­trolle über Browser Erwei­te­rungen bzw. Konten bei anderen Anbietern zu über­nehmen.

Browser-Exten­sions oder auch Browser-Erwei­te­rungen sind Pro­gramme, die die Standard­funktionalität oder das Ver­halten von Web­browsern nahezu beliebig erweitern oder modi­fi­zieren können. Dies ermög­licht es, die Benut­zer­freund­lichkeit von Browsern zu steigern oder Funk­tionen nur gewissen Nut­zer­gruppen bereit­zu­stellen. Bekannte Bei­spiele für Browser-Exten­sions sind Werbe­blocker, Browser-Toolbars oder auch Passwort-Manager. Durch ein­fachen Zugriff auf sen­sible Daten (z.B. Cookies) stellen Browser-Erwei­te­rungen aller­dings ein mög­liches Angriffsziel dar.

Aus diesem Grund hat A-SIT am Bei­spiel Google Chrome mit einem dafür ent­wi­ckelten, auto­ma­ti­sierten Ana­ly­se­pro­gramm die Top 1000 Erwei­te­rungen im Google Chrome Web Store auf poten­tiell sicher­heits­re­le­vante Fehler ana­ly­siert. Beson­derer Fokus wurde dabei auf Fehler in gut­ar­tigen Erwei­te­rungen gelegt. Dabei hat sich gezeigt, dass rund 50 Prozent der unter­suchten Erwei­te­rungen eine oder mehrere externe Pro­gramm­bi­blio­theken ver­wenden, die zum Teil schwer­wie­gende Sicher­heits­lücken auf­weisen. Außerdem wurden ver­mehrt Geheim­nisse – wie Amazon AWS Zugriffs­tokens – sowie Pass­wörter und Benut­zer­namen gefunden, die es einem Angreifer unter Umständen erlauben können, Zugriff auf Accounts zu erhalten.

Die Analyse zeigt auch, dass ca. 80 Prozent der unter­suchten Erwei­te­rungen zumindest eine URL auf­weisen, die auf die Ver­wendung einer unver­schlüs­selten Ver­bindung hin­deutet. Die fest­ge­stellten Beob­ach­tungen stellen zwar nicht not­wen­di­ger­weise jeweils eine Sicher­heits­lücke dar, zeigen aber deutlich, dass Browser-Erwei­te­rungen durchaus sicher­heits­re­levant sind.

Um Rück­schlüsse auf die unter­suchten Erwei­te­rungen bzw. deren poten­ti­ellen Schwach­stellen zu ver­hindern, werden die Ergeb­nisse in der Studie nur sta­tis­tisch prä­sen­tiert. Die Studie soll außerdem Ent­wicklern dazu dienen, häufige Fehler zu ver­meiden. Das ver­öf­fent­liche Analyse Tool stellt dabei ein zusätz­liches Hilfs­mittel zur kor­rekten Ent­wicklung von Erwei­te­rungen dar. Die voll­ständige Studie, sowie das Ana­ly­se­pro­gramm sind auf dem Blog von A-SIT ver­fügbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dominik Ziegler, TU Graz / A-SIT

Dominik Ziegler ist seit 2016 an der TU Graz als Pro­jekt­mit­ar­beiter im Bereich IT-Sicherheit tätig. Im Rahmen seiner Akti­vi­täten erstellt er für das Zentrum für Sichere Infor­ma­ti­ons­tech­no­logie — Austria (A-SIT) unter anderem Sicher­heits­ana­lysen. A-SIT ist ein gemein­nüt­ziger Verein, der den Gesetz­geber und Behörden bei der Infor­ma­ti­ons­si­cherheit unter­stützt. Mit­glieder sind das Öster­rei­chische Bun­des­mi­nis­terium für Finanzen, die Öster­rei­chische Natio­nalbank, die Bun­des­re­chen­zentrum GmbH und die TU Graz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.