Der kroatische Sicherheitsforscher Bojan Zdrnja hat eine schädliche Erweiterung für den Google-Browser Chrome entdeckt. Sie missbraucht dessen Synchronisationsfunktion, um Daten von Nutzern zu stehlen, Firewall-Einstellungen und andere Sicherheitsmaßnahmen zu umgehen und Befehle an infizierte Browser zu senden.
Aufmerksam wurde Zdrnja die Erweiterung und denn Missbrauch der Sync-Funktion bei der Untersuchung eines Sicherheitsvorfalls. Unbekannte hatten sich Zugang zum Computer eines Opfers verschafft, um Daten aus einem Unternehmensportal zu stehlen. Zu diesem Zweck luden sie eine gefährliche Chrome-Erweiterung auf den Computer des Opfers herunter und schleusten sie über den Entwicklermodus von Chrome ein.
Die Erweiterung selbst war als Sicherheits-Add-on des Anbieters Forcepoint getarnt. Sie enthielt den Schadcode, um die Sync-Funktion für den Datendiebstahl und die Kommunikation mit dem Browser benutzen zu können. So erhielten die Cyberkriminellen Zugang “zu einer internen Webanwendung, auf die das Opfer Zugriff hatte”.
Der schädliche Code legte nahe, dass der Angreifer die Erweiterung nutzte, um ein textbasiertes Feld zu erstellen, in dem Token Keys gespeichert wurden. Diese synchronisierte der kompromittierte Browser anschließend mit der Google Cloud. Abrufen konnte er diese Daten, indem er sich mit demselben Google-Konto in einer anderen Instanz von Chrome anmeldete – für diesen Zweck war auch ein Wegwerf-Konto geeignet.
Das Textfeld konnte der Analyse des Forschers zufolge beliebige Daten über beziehungsweise aus dem gekaperten Browser enthalten. Dazu gehörten Nutzernamen, Kennwörter, Kryptographieschlüssel oder eben auch Befehle, die der entfernte Browser ausführen sollte.
Die Kaperung der Sync-Funktion bot den Angreifern zudem die Möglichkeit, ihren eigenen Datenverkehr im legitimen Traffic des Chrome-Browsers zu verbergen. Dem Forscher zufolge wird solcher Datenverkehr in Unternehmen oft weder geprüft noch blockiert. Auch sei es nicht ohne weiteres möglich, pauschal den Traffic zu client4.google.com zu sperren, da darüber nicht nur die Sync-Funktion von Chrome abgewickelt werden. Stattdessen rät der Forscher, die Enterprise-Version von Chrome einzusetzen und per Gruppenrichtlinie die Installation von Browsererweiterungen zu beschränken.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…