Google Chrome ist ein sehr verbreiteter Browser. Hacker sehen ihn als ein lohnenswertes Ziel an. Ein Sicherheitsteam von SquareX hat eine schwerwiegende Sicherheitslücke entdeckt. Diese Sicherheitslücke erlaubt es – über eine Browsererweiterung die volle Kontrolle über den Browser und das ganze Gerät zu erfüllen.
Die Methode des Browser-Syncjacking
Browser-Syncjacking nutzt die Google-Sync-Funktion des Chrome-Webbrowsers aus. Zunächst scheint es so – wie wäre dies unmöglich. Sicherheitsexperten haben jedoch das Gegenteil bewiesen. Mit dieser Form des Angriffs kann ein Angreifer verdeckt agieren.
Phasen des Angriffs
Der Browser-Syncjacking-Angriff verläuft in drei Phasen. Die Phasen sind: Profil-Hijacking, Browser-Hijacking und schließlich Geräte-Hijacking. Jeder Schritt kann für den Benutzer gefährlich sein.
Schritt 1: Vorbereitung des Angreifers
Der Angriff beginnt mit der Registrierung eines Google Workspace-Kontos. Ein Hacker erstellt hierfür mehrere Benutzerprofile für eine bestimmte Domain. Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung werden deaktiviert.
Der nächste Schritt umfasst die Entwicklung einer bösartigen Chrome-Erweiterung. Diese Erweiterung wird auf dem Chrome Web Store veröffentlicht. Obwohl sie harmlos scheint – hat sie legitime Funktionen und verlangt nur minimale Berechtigungen.
Schritt 2: Installation der Erweiterung
Der Angreifer muss die Benutzer dazu bringen die Erweiterung herunterzuladen. Hierzu können verschiedene Methoden zum Einsatz kommen. Social Engineering, E-Mails oder Werbung auf Social-Media-Plattformen sind Beispiele dafür.
Schritt 3: Profil-Hijacking
Sobald die Erweiterung installiert ist, öffnet sie ein unsichtbares Fenster. Dieses Fenster verbindet sich mit der Domain des Angreifers. Das Opfer wird dann bei einem Benutzerkonto des Hackers angemeldet. Das Profil liegt nun vollständig unter der Kontrolle des Angreifers.
Die Rechteausdehnung
Nach der ersten Phase öffnet die Erweiterung eine vermeintlich legitime Google-Supportseite. Dort wird das Opfer aufgefordert – das Chrome Sync zu aktivieren. Wenn die Zustimmung erteilt wird verknüpft dies lokale Daten mit dem Profil des Angreifers.
Browser-Hijacking
Im nächsten Schritt muss der Angreifer den Browser kontrollieren. In diesem Fall geschieht dies über ein gefälschtes Zoom-Update. Die ausführbare Datei täuscht vor – eine Softwareinstallation zu sein. Im Glauben ein Update herunterzuladen führt das Opfer die Datei aus.
Das Ergebnis ist ein Registrierungseintrag, welcher den Browser des Opfers steuert. Der Angreifer hat nun die Möglichkeit, bösartige Erweiterungen zu installieren und Sicherheitsmaßnahmen zu deaktivieren.
Geräte-Hijacking
Schließlich kann der Angreifer die Kontrolle über das gesamte Gerät übernehmen. Hierfür ist ein weiterer Registrierungseintrag erforderlich. Diese Einträge ermöglichen es der Erweiterung direkt mit nativen Apps zu kommunizieren.
Durch diese Verbindung kann der Angreifer die Gerätekamera aktivieren, Audio aufnehmen und Software installieren. Vor diesem Hintergrund ist die Bedrohung enorm groß.
Kommentare
Das Browser-Syncjacking ist eine gefährliche Angriffsmethode. Schwierigkeiten gibt es oft bei der Erkennung solcher Angriffe. Nutzer sollten wachsam sein und sich über die Risiken informieren.