Browser Syncjacking Angriffe: Vorsicht bei Browser Extensions

Browser Syncjacking ist eine neu entdeckte Angriffsmethode, die zeigt, wie schnell und unbemerkt ein Browser – und letztlich auch das gesamte System – kompromittiert werden kann. Was auf den ersten Blick nach einer harmlosen Browser-Erweiterung aussieht, kann in Wirklichkeit dazu genutzt werden, sensible Daten wie Passwörter oder Dokumente abzugreifen und sogar tiefgehenden Zugriff auf den Computer des Opfers zu erlangen.

Die Forscherinnen und Forscher von SquareX haben sich mit diesem Thema intensiv auseinandergesetzt, nachdem immer mehr Angriffe gegen Browser-Erweiterungen in den Fokus geraten sind. Während sich bisherige Attacken oft auf den Diebstahl spezifischer Informationen oder die Manipulation einzelner Webanwendungen beschränkten, legt Browser Syncjacking die Messlatte höher: Angreifer können nicht nur auf Browser-Daten zugreifen, sondern auch das gesamte Gerät steuern.

Der Trick dahinter beruht auf den legitimen Funktionen moderner Browser. In den meisten Fällen erlaubt Chrome, dass Nutzer ihre Daten wie Lesezeichen, Passwörter und Formulardaten über mehrere Geräte hinweg synchronisieren können. Diese praktische Funktion wird allerdings missbraucht, sobald das Opfer unbemerkt in ein Profil der Angreifer gelotst wird. Dafür reicht es, eine scheinbar nützliche Erweiterung zu installieren, die nur grundlegende Berechtigungen für Lese- und Schreibzugriffe beantragt. Kaum jemand misst solchen Berechtigungen große Bedeutung bei, da viele bekannte Erweiterungen dieselben Rechte benötigen.

Nach der Installation verläuft alles zunächst wie erwartet. Die Erweiterung macht, was sie verspricht, sei es ein intelligenter Schreibassistent oder ein bequemes Termin-Tool. Doch im Hintergrund verbindet sie sich mit einem Server, der von den Angreifern kontrolliert wird, und führt das Opfer Schritt für Schritt in ein kompromittiertes Browser-Profil. Dort werden Sicherheitsrichtlinien abgeschaltet und sämtliche Aktivitäten überwacht. Spätestens wenn die betroffene Person aufgefordert wird, den Chrome-Sync zu aktivieren, werden alle lokal gespeicherten Daten in das manipulierte Google-Konto übertragen. Die Angreifer können sich nun auf ihren eigenen Geräten im selben Profil anmelden und die kompletten Browser-Daten des Opfers einsehen.

Ist dieser Schritt erst einmal vollzogen, ist der Weg zum sogenannten “Browser Hijacking” nicht mehr weit. Die Angreifer sorgen dafĂĽr, dass das Opfer unwissentlich eine vermeintliche Aktualisierung fĂĽr beliebte Software wie Zoom herunterlädt. Dahinter steckt jedoch eine schädliche Datei, die das System zusätzlich manipuliert und es in eine verwaltete Umgebung ĂĽberfĂĽhrt. Plötzlich hat der Angreifer volle Kontrolle ĂĽber den Browser, kann Erweiterungen installieren oder austauschen, auf sämtliche Webkonten zugreifen, Downloads umlenken oder weitere Schadsoftware platzieren. Besonders bedrohlich wird es, wenn ĂĽber das Native Messaging Protocol ein direkter Kanal ins Betriebssystem geschaffen wird. Dann stehen den Angreifern die TĂĽren zur gesamten Festplatte, zum Kopieren, Löschen oder VerschlĂĽsseln von Dateien und sogar zum AusfĂĽhren beliebiger Programme offen.

Warum ist das so gefährlich? Zum einen ist der Angriff äußerst unauffällig. Wer rechnet schon damit, dass eine normale Browser-Erweiterung gleich das ganze System kompromittieren kann? Zum anderen genügen minimale Rechte, damit der Angriff funktioniert. Erscheint die Erweiterung im Chrome Store, sind viele Nutzer sogar eher geneigt, sie als sicher einzustufen. Und in Sachen Unternehmenssicherheit setzt nur ein Bruchteil der Firmen überhaupt auf Verwaltete Browser-Profile, geschweige denn auf Lösungen, die schädliche Aktivitäten innerhalb solcher Browser tatsächlich erkennen.

Die wichtigste Konsequenz lautet also: Browser-Erweiterungen – so praktisch sie auch sind – bergen erhebliche Risiken. Nutzerinnen und Nutzer sollten Erweiterungen nur installieren, wenn sie dem Anbieter voll vertrauen, und regelmäßig prüfen, welche Plugins sie überhaupt noch benötigen. Unternehmen wiederum sollten verstärkt auf zentrale Sicherheitsrichtlinien für Browser setzen und Tools einsetzen, die Anomalien im Browser erkennen können. Denn solange Browser Syncjacking so einfach umgesetzt werden kann, bleibt jedes Gerät gefährdet, das unbedacht neue Erweiterungen testet.

Related Posts

Deutscher Cloud Provider: Massive Datenpanne betrifft gesamte Bevölkerung Georgiens

Am 4. Oktober 2024 wurde eine schwerwiegende Datenpanne in der Republik Georgien entdeckt. Eine ungeschützte Elasticsearch-Datenbank, gehostet von einem deutschen Cloud-Service-Anbieter, enthielt Millionen sensibler Datensätze georgischer Bürger. Die Datenbank wurde wenige Tage später, am 7. Oktober 2024, offline genommen, aber die potenziellen Risiken bleiben bestehen. Die Daten scheinen aus mehreren Quellen, möglicherweise staatlichen oder kommerziellen Datenbanken, zusammengeführt worden zu sein. Teile der Daten stammen offenbar aus einem bereits 2020 bekannten Leck, wurden aber mit neuen Datensätzen kombiniert. Das Datenvolumen umfasst mit mehr als 7 Mio Datensätze, wobei Georgien nur eine Bevölkerung von ca. 4 Mio Menschen aufweist. Es sind somit auch Dubletten und möglicherweise verstorbene Personen in den Datensätzen enthalten. Laut einem Bericht von Cybernews.com ist das Leck auf eine offen zugängliche ElasticSearch Instanz zurückzuführen.

Read More

DeepSeek: Millionen sensibler Datensätze geleakt

Ein schwerwiegendes Sicherheitsproblem wurde bei DeepSeek, einem chinesischen KI-Startup, entdeckt. Das Sicherheitsteam von Wiz Research fand eine öffentlich zugängliche ClickHouse-Datenbank, die ohne Authentifizierung abrufbar war. Diese Sicherheitslücke ermöglichte uneingeschränkten Zugriff auf interne Daten, einschließlich Chatverläufe, API-Schlüssel, Backend-Informationen und Betriebslogs. Insgesamt wurden über eine Million sensible Log-Einträge offengelegt.

Read More

Datenleck bei Hotelmanagement Plattform Otelier: Millionen persönliche Daten von Hotelgästen gestohlen

Cyberkriminelle haben bei einem Angriff auf die amerikanische Hotelmanagement-Plattform Otelier (ehemals Mydigitaloffice) persönliche Daten von Millionen Hotelgästen entwendet. Die Angreifer nutzten gestohlene Anmeldedaten eines Mitarbeiters, um in den Amazon-S3-Cloudspeicher von Otelier einzudringen. Zwischen Juli und September 2024 konnten sie nahezu acht Terabyte an sensiblen Kundendaten stehlen.

Read More