Google Chrome und Manifest V3 bieten keinen ausreichenden Schutz: Aktuelle Untersuchung zeigt Sicherheitslücken in Chrome-Erweiterungen.
Browser-Erweiterungen erleichtern den Alltag im Internet. Doch Untersuchungen zeigen: Die beliebten Google Chrome-Erweiterungen bergen nach wie vor erhebliche Sicherheitsrisiken. Auch Googles neues Sicherheitskonzept Manifest V3 schafft keine vollständige Abhilfe.
Chrome-Erweiterungen: Neue Regeln, alte Probleme
Google hat mit Manifest V3 einen wichtigen Schritt zur Verbesserung der Browsersicherheit unternommen. Das neue Framework setzt strengere Grenzen für die Berechtigungen von Google Chrome-Erweiterungen. Dennoch bleiben Chrome-Erweiterungen ein Sicherheitsrisiko. IT-Sicherheitsforscher haben nachgewiesen, dass bösartige Erweiterungen die Schutzmaßnahmen weiterhin umgehen können. Angreifer erhalten so Zugriff auf geschützte Bereiche und sensible Nutzerdaten.
Das Ausmaß des Problems wird durch aktuelle Zahlen deutlich. Im letzten Jahr musste Google 32 schädliche Erweiterungen aus dem Chrome Web Store entfernen. Das klingt nach wenig, doch der Schaden war bereits zu diesem Zeitpunkt größer als angenommen. Die Erweiterungen wurden bis zur Löschung über 72 Millionen Mal geladen. Die Angreifer konnten in dieser Zeit unbemerkt auf Videochats in Google Meet und Zoom zugreifen und sensible Nutzerdaten auslesen. Besonders gefährlich ist die Möglichkeit, Nutzer auf gefälschte Webseiten umzuleiten.
Grundlegende Schwachstellen im Sicherheitskonzept
Das Problem liegt hauptsächlich in der Funktionsweise von Manifest V3. Denn das System prüft nur die statischen Berechtigungen einer Erweiterung. Eine Überprüfung des tatsächlichen Verhaltens zur Laufzeit findet nicht statt. Dadurch können bösartige Erweiterungen weiterhin unbemerkt geschützte Daten an die Server der Cyberkriminellen übertragen und täuschend echte Popups anzeigen.
Aber auch das Nachladen von Schadcode ist weiterhin möglich. Gängige Sicherheitslösungen wie EDR-Systeme oder Secure Web Gateways erkennen diese versteckten Aktivitäten nicht. Über die anhaltende Problematik berichtet Techradar in einem aktuellen Artikel.
Sicherheitsempfehlungen
Ein bewusster Umgang mit Chrome-Erweiterungen bleibt trotz verbesserter Schutzmaßnahmen von Google Pflicht. Der Installationsprozess sollte immer mit Bedacht ausgeführt werden. Vertrauenswürdige Entwickler und eine regelmäßige Säuberung des Browsers tragen zur Sicherheit bei.
Die Sicherheit von Chrome-Erweiterungen entwickelt sich ständig weiter. Und ja, Manifest V3 ist ein Schritt in die richtige Richtung. Dennoch zeigen die aktuellen Untersuchungen deutlich: Der Weg zu wirklich sicheren Browser-Erweiterungen ist noch weit. Wachsamkeit und zusätzliche Schutzmaßnahmen bleiben vorerst unerlässlich.