Chrome-Erweiterungen schalten wichtige Security-Optionen einfach ab
Tausende Chrome-Erweiterungen, die über den offiziellen Chrome Web Store verbreitet werden, setzen den Nutzer einem massiven Sicherheits-Risiko aus. Und das nicht etwa durch eigene Schwachstellen, sondern weil sie ungefragt Security-Funktionen deaktivieren.
Bisherige Untersuchungen zur Sicherheitslage bei den Browser-Erweiterungen drehten sich in der Regel um die Qualität der kleinen Programme selbst. Nun aber nahmen Mitarbeiter des CISPA Helmholtz Zentrums für IT-Sicherheit unter die Lupe, was die Codes eigentlich sonst so tun. Und hier förderten sie eine beunruhigende Tatsache zu Tage: Zahlreiche Chrome-Erweiterungen nehmen einfach Änderungen an den HTTP-Security-Headern vor.
Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Tiefer Eingriff
Weiterhin sorgen die Security-Header für den Aufbau ordentlich verschlüsselter Verbindungen, den Schutz vor XXS-Angriffen und einigem mehr. Daher stellt es ein nicht zu verachtendes Problem dar, wenn die Erweiterungen einfach in die Kommunikation zwischen Browser und Server eingreifen und Änderungen an ihnen vornehmen.Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Siehe auch:
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
- Chrome: Das sind die neun Feineinstellungen für das Werbetracking
- Chrome und Edge 100: So macht man den Browser bei Problemen fit
- Screenshots kompletter Webseiten im Chrome: So klappt es einfach
- Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
- Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Erweiterung Post-it für Firefox oder Chrome
System -
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak
Interessante Links
Neue Nachrichten
- GDID: Microsoft bestätigt nicht deaktivierbare Windows-Gerätekennung
- FritzSmart und Repeater: Firmware-Updates für 4 Geräte stehen bereit
- Schweizer Armee verbannt Microsoft für deutsche OpenDesk-Lösung
- Long March 10B: China landet erstmals Raketenstufe auf dem Meer
- Nur heute: 13 Weekend-Deals bei Media Markt & Saturn, die sich lohnen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- PC-Gaming: Steam scheffelt mehr Geld als je zuvor - aus zwei Gründen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen