Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
A‑Sit Studie zu Sicherheit in Browser Extensions
Sicherheitsrisiken in vielen Browser Erweiterungen
Eine A‑SIT Analyse ergab: In fast 50 Prozent von 1000 untersuchten Browser Erweiterungen fanden sich veraltete Bibliotheken oder sicherheitsrelevante Fehler, die es Angreifern unter Umständen erlauben, die Kontrolle über Browser Erweiterungen bzw. Konten bei anderen Anbietern zu übernehmen.
Browser-Extensions oder auch Browser-Erweiterungen sind Programme, die die Standardfunktionalität oder das Verhalten von Webbrowsern nahezu beliebig erweitern oder modifizieren können. Dies ermöglicht es, die Benutzerfreundlichkeit von Browsern zu steigern oder Funktionen nur gewissen Nutzergruppen bereitzustellen. Bekannte Beispiele für Browser-Extensions sind Werbeblocker, Browser-Toolbars oder auch Passwort-Manager. Durch einfachen Zugriff auf sensible Daten (z.B. Cookies) stellen Browser-Erweiterungen allerdings ein mögliches Angriffsziel dar.
Aus diesem Grund hat A‑SIT am Beispiel Google Chrome mit einem dafür entwickelten, automatisierten Analyseprogramm die Top 1000 Erweiterungen im Google Chrome Web Store auf potentiell sicherheitsrelevante Fehler analysiert. Besonderer Fokus wurde dabei auf Fehler in gutartigen Erweiterungen gelegt. Dabei hat sich gezeigt, dass rund 50 Prozent der untersuchten Erweiterungen eine oder mehrere externe Programmbibliotheken verwenden, die zum Teil schwerwiegende Sicherheitslücken aufweisen. Außerdem wurden vermehrt Geheimnisse – wie Amazon AWS Zugriffstokens – sowie Passwörter und Benutzernamen gefunden, die es einem Angreifer unter Umständen erlauben können, Zugriff auf Accounts zu erhalten.
Die Analyse zeigt auch, dass ca. 80 Prozent der untersuchten Erweiterungen zumindest eine URL aufweisen, die auf die Verwendung einer unverschlüsselten Verbindung hindeutet. Die festgestellten Beobachtungen stellen zwar nicht notwendigerweise jeweils eine Sicherheitslücke dar, zeigen aber deutlich, dass Browser-Erweiterungen durchaus sicherheitsrelevant sind.
Um Rückschlüsse auf die untersuchten Erweiterungen bzw. deren potentiellen Schwachstellen zu verhindern, werden die Ergebnisse in der Studie nur statistisch präsentiert. Die Studie soll außerdem Entwicklern dazu dienen, häufige Fehler zu vermeiden. Das veröffentliche Analyse Tool stellt dabei ein zusätzliches Hilfsmittel zur korrekten Entwicklung von Erweiterungen dar. Die vollständige Studie, sowie das Analyseprogramm sind auf dem Blog von A‑SIT verfügbar.
Dominik Ziegler, TU Graz / A‑SIT

Dominik Ziegler ist seit 2016 an der TU Graz als Projektmitarbeiter im Bereich IT-Sicherheit tätig. Im Rahmen seiner Aktivitäten erstellt er für das Zentrum für Sichere Informationstechnologie — Austria (A‑SIT) unter anderem Sicherheitsanalysen. A‑SIT ist ein gemeinnütziger Verein, der den Gesetzgeber und Behörden bei der Informationssicherheit unterstützt. Mitglieder sind das Österreichische Bundesministerium für Finanzen, die Österreichische Nationalbank, die Bundesrechenzentrum GmbH und die TU Graz.

Neueste Kommentare