Chrome-Erweiterungen schalten wichtige Security-Optionen einfach ab

Tausende Chrome-Erweiterungen, die über den offiziellen Chrome Web Store verbreitet werden, setzen den Nutzer einem massiven Sicherheits-Risiko aus. Und das nicht etwa durch eigene Schwachstellen, sondern weil sie ungefragt Security-Funktionen deaktivieren.
Sicherheit, Sicherheitslücke, Datenschutz, Security, Angriff, Privatsphäre, Kriminalität, Verschlüsselung, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Internetkriminalität, Kryptographie, Hacker Angriff, Hacken, Schlüssel, DSGVO, schloss, Ende-zu-Ende-Verschlüsselung, Datenverarbeitung, Security Report, Absicherung, Verschlüsselungssoftware, Schloss-Symbol
Bisherige Untersuchungen zur Sicherheitslage bei den Browser-Erweiterungen drehten sich in der Regel um die Qualität der kleinen Programme selbst. Nun aber nahmen Mitarbeiter des CISPA Helmholtz Zentrums für IT-Sicherheit unter die Lupe, was die Codes eigentlich sonst so tun. Und hier förderten sie eine beunruhigende Tatsache zu Tage: Zahlreiche Chrome-Erweiterungen nehmen einfach Änderungen an den HTTP-Security-Headern vor.

Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.

Tiefer Eingriff

Weiterhin sorgen die Security-Header für den Aufbau ordentlich verschlüsselter Verbindungen, den Schutz vor XXS-Angriffen und einigem mehr. Daher stellt es ein nicht zu verachtendes Problem dar, wenn die Erweiterungen einfach in die Kommunikation zwischen Browser und Server eingreifen und Änderungen an ihnen vornehmen.

Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.

Siehe auch:


Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!