Chrome-Erweiterungen schalten wichtige Security-Optionen einfach ab
Tausende Chrome-Erweiterungen, die über den offiziellen Chrome Web Store verbreitet werden, setzen den Nutzer einem massiven Sicherheits-Risiko aus. Und das nicht etwa durch eigene Schwachstellen, sondern weil sie ungefragt Security-Funktionen deaktivieren.
Bisherige Untersuchungen zur Sicherheitslage bei den Browser-Erweiterungen drehten sich in der Regel um die Qualität der kleinen Programme selbst. Nun aber nahmen Mitarbeiter des CISPA Helmholtz Zentrums für IT-Sicherheit unter die Lupe, was die Codes eigentlich sonst so tun. Und hier förderten sie eine beunruhigende Tatsache zu Tage: Zahlreiche Chrome-Erweiterungen nehmen einfach Änderungen an den HTTP-Security-Headern vor.
Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Tiefer Eingriff
Weiterhin sorgen die Security-Header für den Aufbau ordentlich verschlüsselter Verbindungen, den Schutz vor XXS-Angriffen und einigem mehr. Daher stellt es ein nicht zu verachtendes Problem dar, wenn die Erweiterungen einfach in die Kommunikation zwischen Browser und Server eingreifen und Änderungen an ihnen vornehmen.Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Siehe auch:
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen