Google bietet seinen Nutzern Tausende von Erweiterungen an, um Kalenderereignisse, Passwörter, Werbeblocker, E-Mail-Zugang, Lesezeichen, Übersetzungen und Suchaktivitäten zu verwalten. Aus der Art und Weise, wie Erweiterungen auf den internen Webseitencode zugreifen, ergibt sich allerdings ein Problem.
Forscher der University of Wisconsin-Madison (UW-M) haben nachgewiesen, dass Hacker über Browser Extensions in Chrome leicht an private Daten wie Passwärter, Bankdaten oder Sozialversicherungsnummern kommen. Alarmierend sei die Entdeckung von Passwörtern, die in HTML-Quelldateien im Klartext gespeichert sind, und zwar auf Webseiten einiger der weltweit größten Unternehmen wie Google, Amazon, Citibank oder Capital One.
"Ohne jegliche Schutzmaßnahmen, wie sie auf Websites wie IRS.gov, Capital One, USENIX, Google und Amazon zu sehen sind, sind sensible Daten wie Sozialversicherungsnummern und Kreditkarteninformationen sofort für alle auf der Seite laufenden Erweiterungen zugänglich", so Asmit Nayak, Doktorand der Informatik an der UW-M., in einem Bericht, der am 30. August auf dem Preprint-Server arXiv veröffentlicht wurde. "Dies stellt ein erhebliches Sicherheitsrisiko dar, da private Daten ungeschützt bleiben."
Trotz der von Google in diesem Jahr eingeführten Schutzmaßnahmen, fehlt nach wie vor eine Schutzschicht zwischen Webseiten und Browsererweiterungen, sodass Hacker immer noch der Entdeckung entgehen können.
"Große Online-Marktplätze wie Google und Amazon bieten keinen Schutz für Kreditkarten-Eingabefelder", heißt es in dem Bericht. "In diesen Fällen sind die Kreditkartendaten, einschließlich des Sicherheitscodes und der Postleitzahl, im Klartext auf der Webseite sichtbar. Dies stellt ein erhebliches Sicherheitsrisiko dar, da jede bösartige Erweiterung auf diese sensiblen Daten zugreifen und sie stehlen könnte.
Nayak fügte hinzu, dass er und seine beiden Kollegen 190 Erweiterungen identifiziert haben, die direkt auf Passwortfelder zugreifen.
Um die realen Auswirkungen dieser Schwachstellen zu demonstrieren, entwarfen die Forscher eine Proof-of-Concept-Erweiterung, die die Schwäche der Browser Extensions ausnutzen konnte. Sie enthielt keinen bösartigen Code und bestand daher die Sicherheitsüberprüfung im Chrome Web Store von Google. Die Forscher deaktivierten die Erweiterung, nachdem sie festgestellt hatten, dass sie die Sicherheitsmaßnahmen umgehen und sensible Daten lesen konnte. Die Leichtigkeit, mit der die Forscher eine potenziell schädliche Erweiterung hochgeladen hatten, "unterstreicht den dringenden Bedarf an robusteren Sicherheitsmaßnahmen", so Nayak.
Ein Amazon-Sprecher kommentierte den Bericht: "Wir ermutigen die Entwickler von Browsern und Erweiterungen, bewährte Sicherheitspraktiken anzuwenden, um Kunden, die ihre Dienste nutzen, noch besser zu schützen." Ein Google-Sprecher sagte, dass die Angelegenheit untersucht werden soll.
Mehr Informationen:
Asmit Nayak et al, Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields, arXiv (2023). https://arxiv.org/abs/2308.16321
