Eine kleine Gruppe von Forschern machte eine überraschende Entdeckung: Rund 30 Browsererweiterungen, die teilweise 18 Monate lang im Chrome Web Store von Google gehostet wurden, zogen heimlich sensible Daten von rund 2,6 Millionen Geräten ab. Nichts weniger.
Kurz gesagt, Hacker haben die gleichen Vorsätze wie in den Vorjahren beibehalten, nämlich uns zu betrügen und über unsere digitalen Geräte zu stehlen.
Diese von Ars Technica veröffentlichten Kompromittierungen wurden vom Data Loss Prevention-Dienst Cyberhaven aufgedeckt, der herausfand, dass eine Chrome-Erweiterung, die von 400.000 ihrer eigenen Kunden verwendet wurde, mit Code aktualisiert wurde, der ihre sensiblen Daten stahl.
Die gehackte Erweiterung war einige Zeit im Umlauf, bevor sie entdeckt wurde.
Dies sollte ursprünglich verhindern, dass Benutzer versehentlich sensible Daten in E-Mails oder auf von ihnen besuchten Websites eingeben.
Durch Phishing
Ohne ins Detail zu gehen, trug diese Entdeckung dazu bei, das Phishing-System aufzudecken, das von mehreren anderen böswilligen Akteuren genutzt wurde. Insgesamt etwa dreißig.
Security Annex, ein Unternehmen zur Analyse und Verwaltung von Browsererweiterungen, gab an, 19 weitere Chrome-Erweiterungen entdeckt zu haben, die in ähnlicher Weise kompromittiert worden seien. In allen Fällen nutzte der Angreifer Phishing, um eine neue bösartige Version und benutzerdefinierte Domänen zu verbreiten, um Befehle auszugeben und Authentifizierungsinformationen zu erhalten. Zusammen wurden die 20 Erweiterungen 1,46 Millionen Mal heruntergeladen.
Eine weitere bösartige Erweiterung, Reader Mode, führte zur Entdeckung einer Codebibliothek, mit der Entwickler ihre Erweiterungen monetarisieren können. Diese Codebibliothek sammelt Informationen über jeden Besuch eines Browsers. Als Gegenleistung für die Integration der Bibliothek in Erweiterungen erhalten Entwickler eine Provision vom Ersteller der Bibliothek.
Insgesamt wurden diese Erweiterungen 1,14 Millionen Mal installiert. Die vollständige Liste lautet wie folgt:
Jeder, der eine dieser kompromittierten Erweiterungen verwendet hat, sollte darüber nachdenken, seine Passwörter und andere Authentifizierungsinformationen zu ändern.
Andere kompromittierte Erweiterungen:
