Im Chrome Web Store finden schadhafte Erweiterungen ihren Weg. Die verbesserten Sicherheitsmaßnahmen von Googles Manifest V3 scheinen dabei wenig Erfolg zu haben. Diese API-Version soll die Sicherheit von Browsererweiterungen erhöhen. Doch viele laxe Berechtigungen bleiben weiterhin bestehen.
Sicherheitslücken aufgedeckt
Sicherheitsforscher der Firma SquareX haben auf der Hackerkonferenz DefCon 32 alarmierende Ergebnisse präsentiert. Sie konnten zeigen; ebenso wie schadhafte Erweiterungen die bestehenden Sicherheitsvorkehrungen umgehen. Zunächst wurden Methoden demonstriert wie Videomaterial von Plattformen wie Google Meet oder Zoom gestohlen werden kann. Dies geschieht ohne spezielle Berechtigungen.
Darüber hinaus zeigten die Forscher, dass solche Erweiterungen Angreifern Daten Browserhistorie und Session Cookies entlocken können. Nutzer werden gezielt auf gefährliche Webseiten geleitet. Auch das Hinzufügen von Mitwirkenden zu privaten GitHub-Repositories wird durch diese Erweiterungen ermöglicht.
Sicherheitsmaßnahmen unzureichend
Vivek Ramachandran der CEO von SquareX, äußerte Bedenken über Browser-Erweiterungen. Sie stellen einen blinden Fleck für Sicherheitslösungen wie Endpoint Detection and Response (EDR) dar. Mitarbeiter können solche Erweiterungen unbemerkt installieren. Angreifer nutzen diese Lücken um in interne Systeme & Daten von Unternehmen einzudringen. Unternehmen benötigen deshalb dynamische Analysen und strenge Sicherheitsrichtlinien. Andernfalls bleiben sie schutzlos gegen solche Angriffe.
Googles Manifest V3 wird zwar optimistisch betrachtet, allerdings die tatsächliche Sicherheit bleibt ungenügend. Im Vergleich zu Manifest V2 fiel es Angreifern zwar schwerer schädliche Erweiterungen zu ausarbeiten. Dennoch sind » Stand August 2024 « weiterhin über 50.000 Erweiterungen aktiv die auf dem alten Standard basieren.
Kritische Stimmen
Die Einführung von Manifest V3 stieß auf gemischte Reaktionen. Kritiker, insbesondere Anbieter von Adblockern und ebenfalls die Electronic Frontier Foundation, äußerten Bedenken. Google hob die moderne Architektur sowie verbesserte Sicherheit und Performance von V3 hervor. Doch ob dies der Realität vor Ort entspricht bleibt fraglich.
Kommentare