Browser Syncjacking ist eine neu entdeckte Angriffsmethode, die zeigt, wie schnell und unbemerkt ein Browser – und letztlich auch das gesamte System – kompromittiert werden kann. Was auf den ersten Blick nach einer harmlosen Browser-Erweiterung aussieht, kann in Wirklichkeit dazu genutzt werden, sensible Daten wie Passwörter oder Dokumente abzugreifen und sogar tiefgehenden Zugriff auf den Computer des Opfers zu erlangen.
Die Forscherinnen und Forscher von SquareX haben sich mit diesem Thema intensiv auseinandergesetzt, nachdem immer mehr Angriffe gegen Browser-Erweiterungen in den Fokus geraten sind. Während sich bisherige Attacken oft auf den Diebstahl spezifischer Informationen oder die Manipulation einzelner Webanwendungen beschränkten, legt Browser Syncjacking die Messlatte höher: Angreifer können nicht nur auf Browser-Daten zugreifen, sondern auch das gesamte Gerät steuern.
Der Trick dahinter beruht auf den legitimen Funktionen moderner Browser. In den meisten Fällen erlaubt Chrome, dass Nutzer ihre Daten wie Lesezeichen, Passwörter und Formulardaten über mehrere Geräte hinweg synchronisieren können. Diese praktische Funktion wird allerdings missbraucht, sobald das Opfer unbemerkt in ein Profil der Angreifer gelotst wird. Dafür reicht es, eine scheinbar nützliche Erweiterung zu installieren, die nur grundlegende Berechtigungen für Lese- und Schreibzugriffe beantragt. Kaum jemand misst solchen Berechtigungen große Bedeutung bei, da viele bekannte Erweiterungen dieselben Rechte benötigen.
Nach der Installation verläuft alles zunächst wie erwartet. Die Erweiterung macht, was sie verspricht, sei es ein intelligenter Schreibassistent oder ein bequemes Termin-Tool. Doch im Hintergrund verbindet sie sich mit einem Server, der von den Angreifern kontrolliert wird, und führt das Opfer Schritt für Schritt in ein kompromittiertes Browser-Profil. Dort werden Sicherheitsrichtlinien abgeschaltet und sämtliche Aktivitäten überwacht. Spätestens wenn die betroffene Person aufgefordert wird, den Chrome-Sync zu aktivieren, werden alle lokal gespeicherten Daten in das manipulierte Google-Konto übertragen. Die Angreifer können sich nun auf ihren eigenen Geräten im selben Profil anmelden und die kompletten Browser-Daten des Opfers einsehen.
Ist dieser Schritt erst einmal vollzogen, ist der Weg zum sogenannten „Browser Hijacking“ nicht mehr weit. Die Angreifer sorgen dafür, dass das Opfer unwissentlich eine vermeintliche Aktualisierung für beliebte Software wie Zoom herunterlädt. Dahinter steckt jedoch eine schädliche Datei, die das System zusätzlich manipuliert und es in eine verwaltete Umgebung überführt. Plötzlich hat der Angreifer volle Kontrolle über den Browser, kann Erweiterungen installieren oder austauschen, auf sämtliche Webkonten zugreifen, Downloads umlenken oder weitere Schadsoftware platzieren. Besonders bedrohlich wird es, wenn über das Native Messaging Protocol ein direkter Kanal ins Betriebssystem geschaffen wird. Dann stehen den Angreifern die Türen zur gesamten Festplatte, zum Kopieren, Löschen oder Verschlüsseln von Dateien und sogar zum Ausführen beliebiger Programme offen.
Warum ist das so gefährlich? Zum einen ist der Angriff äußerst unauffällig. Wer rechnet schon damit, dass eine normale Browser-Erweiterung gleich das ganze System kompromittieren kann? Zum anderen genügen minimale Rechte, damit der Angriff funktioniert. Erscheint die Erweiterung im Chrome Store, sind viele Nutzer sogar eher geneigt, sie als sicher einzustufen. Und in Sachen Unternehmenssicherheit setzt nur ein Bruchteil der Firmen überhaupt auf Verwaltete Browser-Profile, geschweige denn auf Lösungen, die schädliche Aktivitäten innerhalb solcher Browser tatsächlich erkennen.
Die wichtigste Konsequenz lautet also: Browser-Erweiterungen – so praktisch sie auch sind – bergen erhebliche Risiken. Nutzerinnen und Nutzer sollten Erweiterungen nur installieren, wenn sie dem Anbieter voll vertrauen, und regelmäßig prüfen, welche Plugins sie überhaupt noch benötigen. Unternehmen wiederum sollten verstärkt auf zentrale Sicherheitsrichtlinien für Browser setzen und Tools einsetzen, die Anomalien im Browser erkennen können. Denn solange Browser Syncjacking so einfach umgesetzt werden kann, bleibt jedes Gerät gefährdet, das unbedacht neue Erweiterungen testet.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: