Google Chrome, Google-Logo und Fragezeichen
Google Chrome, Google-Logo und Fragezeichen
Bildquelle: bilalulker, Lizenz

Chrome-Erweiterungen bleiben Sicherheitsrisiko: Studie belegt Schwachstellen

Google Chrome und Manifest V3 bieten keinen ausreichenden Schutz: Aktuelle Untersuchung zeigt Sicherheitslücken in Chrome-Erweiterungen.

Browser-Erweiterungen erleichtern den Alltag im Internet. Doch Untersuchungen zeigen: Die beliebten Google Chrome-Erweiterungen bergen nach wie vor erhebliche Sicherheitsrisiken. Auch Googles neues Sicherheitskonzept Manifest V3 schafft keine vollständige Abhilfe.

Chrome-Erweiterungen: Neue Regeln, alte Probleme

Google hat mit Manifest V3 einen wichtigen Schritt zur Verbesserung der Browsersicherheit unternommen. Das neue Framework setzt strengere Grenzen für die Berechtigungen von Google Chrome-Erweiterungen. Dennoch bleiben Chrome-Erweiterungen ein Sicherheitsrisiko. IT-Sicherheitsforscher haben nachgewiesen, dass bösartige Erweiterungen die Schutzmaßnahmen weiterhin umgehen können. Angreifer erhalten so Zugriff auf geschützte Bereiche und sensible Nutzerdaten.

DEF CON 32 – Sneaky Extensions The MV3 Escape Artists

Das Ausmaß des Problems wird durch aktuelle Zahlen deutlich. Im letzten Jahr musste Google 32 schädliche Erweiterungen aus dem Chrome Web Store entfernen. Das klingt nach wenig, doch der Schaden war bereits zu diesem Zeitpunkt größer als angenommen. Die Erweiterungen wurden bis zur Löschung über 72 Millionen Mal geladen. Die Angreifer konnten in dieser Zeit unbemerkt auf Videochats in Google Meet und Zoom zugreifen und sensible Nutzerdaten auslesen. Besonders gefährlich ist die Möglichkeit, Nutzer auf gefälschte Webseiten umzuleiten.

Grundlegende Schwachstellen im Sicherheitskonzept

Das Problem liegt hauptsächlich in der Funktionsweise von Manifest V3. Denn das System prüft nur die statischen Berechtigungen einer Erweiterung. Eine Überprüfung des tatsächlichen Verhaltens zur Laufzeit findet nicht statt. Dadurch können bösartige Erweiterungen weiterhin unbemerkt geschützte Daten an die Server der Cyberkriminellen übertragen und täuschend echte Popups anzeigen.

Erweiterungen im Google Chrome-Browser bleiben trotz Manifest V3 ein Sicherheitsrisiko
Erweiterungen im Google Chrome-Browser bleiben ein Sicherheitsrisiko.

Aber auch das Nachladen von Schadcode ist weiterhin möglich. Gängige Sicherheitslösungen wie EDR-Systeme oder Secure Web Gateways erkennen diese versteckten Aktivitäten nicht. Über die anhaltende Problematik berichtet Techradar in einem aktuellen Artikel.

Sicherheitsempfehlungen

Ein bewusster Umgang mit Chrome-Erweiterungen bleibt trotz verbesserter Schutzmaßnahmen von Google Pflicht. Der Installationsprozess sollte immer mit Bedacht ausgeführt werden. Vertrauenswürdige Entwickler und eine regelmäßige Säuberung des Browsers tragen zur Sicherheit bei.

Die Wahrheit über Manifest V3: Wie Google Chrome Adblocker & Co. einschränkt

Die Sicherheit von Chrome-Erweiterungen entwickelt sich ständig weiter. Und ja, Manifest V3 ist ein Schritt in die richtige Richtung. Dennoch zeigen die aktuellen Untersuchungen deutlich: Der Weg zu wirklich sicheren Browser-Erweiterungen ist noch weit. Wachsamkeit und zusätzliche Schutzmaßnahmen bleiben vorerst unerlässlich.

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.