Notebook mit einem Google-Chrome-Logo
Notebook mit einem Google-Chrome-Logo
Bildquelle: monticello, Lizenz

Chrome-Extension: Angreifer kassieren Affiliate-Provisionen

Mit zusammen rund 1,4 Millionen Installationen treiben fünf Google-Chrome-Extensions derzeit ihr Unwesen und greifen Browserdaten ab.

Fünf Google-Chrome-Extensions, die zusammen auf rund 1,4 Millionen Installationen kommen, greifen im Hintergrund Browserdaten ihrer Benutzer ab, um heimlich Affiliate-Provisionen zu kassieren. Ein Grund mehr, mal wieder die ein oder andere Erweiterung zu deinstallieren.

Fünf Erweiterungen mit durchaus attraktiven Hauptfunktionen

Wie McAfee im unternehmenseigenen Blog berichtet, sei es Ziel der betroffenen Chrome-Extensions, die Cookies der Anwender beim Besuch von eCommerce-Webseiten derart zu manipulieren, dass die Seite denkt, die Besucher seien über einen Affiliate-Link zum Shop gekommen. Infolgedessen kassieren die Entwickler eine Affiliate-Provision für sämtliche Einkäufe.

Chrome Web Store - die Heimat der Chrome-Extensions
Chrome Web Store – die Heimat der Chrome-Extensions
Quelle: depositphotos.com

Folgende Erweiterungen konnte McAfee mit diesem Verhalten identifizieren:

  • Netflix Party (800.000 Benutzer)
  • Netflix Party 2 (300.000 Benutzer)
  • FlipShope – Price Tracker Extension (80.000 Benutzer)
  • Full Page Screenshot Capture – Screenshotting (200.000 Benutzer)
  • AutoBuy Flash Sales (20.000 Benutzer)

Dabei hat jede dieser Chrome-Extensions natürlich mindestens eine nützliche Funktion, die sie für ihre Anwender überhaupt erst attraktiv macht. McAfee nennt hier beispielsweise „das gemeinsame Anschauen von Netflix-Sendungen, Website-Gutscheine und das Erstellen von Screenshots einer Website.

Chrome-Extensions telefonieren nach Hause – manchmal erst nach 15 Tagen

Doch auf den zweiten Blick fanden die Sicherheitsforscher heraus, dass die betroffenen Chrome-Extensions permanent „nach Hause telefonieren„, wie E.T. sagen würde. Sie senden die URL jeder besuchten Webseite sowie eine Benutzer-ID und Standortdaten des Benutzers an eine Domain, die unter Kontrolle der Angreifer liegt. Durch Manipulation des Codes der besuchten Webseite verändern diese die zugehörigen Cookies. Schlussendlich erhalten „die Autoren der Erweiterungen für jeden gekauften Artikel eine Partnerzahlung„.

Einige der betroffenen Chrome-Extensions weisen sogar nach der Installation eine 15-tägige Verzögerung auf. Erst danach beginnen sie mit dem Versenden der Browseraktivitäten. Dies soll laut McAfee verhindern, „dass bösartige Aktivitäten in automatisierten Analyseumgebungen erkannt werden.

„Die Nutzer der Erweiterungen wissen nichts von dieser Funktionalität und dem Risiko für den Datenschutz, dass jede besuchte Website an die Server der Autoren der Erweiterung gesendet wird.“

McAfee

Um zu demonstrieren, wie die URL- und Cookie-Änderungen in Echtzeit vorgenommen werden, haben die Sicherheitsforscher ein Video bereitgestellt.

Vorsicht ist geboten – und im Zweifel die Deinstallation

Nach einer technischen Analyse weisen die Experten von McAfee darauf hin, dass auch Chrome-Extensions mit einer großen Installationsbasis schadhaften Code enthalten können. Nur weil viele Menschen eine Erweiterung nutzen, bedeutet das nicht automatisch, dass sie sicher ist. Daher rät das Unternehmen den Anwendern „bei der Installation von Chrome-Extensions vorsichtig zu sein und auf die von ihnen angeforderten Berechtigungen zu achten.

Erst kürzlich haben wir eine Anleitung bereitgestellt, mit der Du Deinem Chrome-Browser Beine machen kannst. Dabei sind Chrome-Extensions einer der Faktoren, die beim Surfen gehörig auf die Bremse treten können. Solltest Du also im Laufe der Zeit zahlreiche Erweiterungen angesammelt haben, die Du zum Großteil gar nicht mehr nutzt, macht es nicht nur aufgrund der Performance Sinn, diese zu entfernen. Auch die Sicherheit Deiner Browserdaten ist ein Argument, das eindeutig dafür spricht.

Tarnkappe.info

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.