Hacker stehlen Daten mithilfe von Chromes Sync-Funktion

Der kroatische Sicherheitsforscher Bojan Zdrnja hat eine schädliche Erweiterung für den Google-Browser Chrome entdeckt. Sie missbraucht dessen Synchronisationsfunktion, um Daten von Nutzern zu stehlen, Firewall-Einstellungen und andere Sicherheitsmaßnahmen zu umgehen und Befehle an infizierte Browser zu senden.

Eigentlich soll Chrome Sync Kopien von diversen Browserdaten speichern und mit der Google Cloud abgleichen, sodass mehrere Instanzen des Browser auf unterschiedlichen Geräten auf diese Daten zugreifen können. Synchronisiert werden unter anderem Lesezeichen, der Browserverlauf sowie Einstellungen für den Browser und dessen Erweiterungen.

Aufmerksam wurde Zdrnja die Erweiterung und denn Missbrauch der Sync-Funktion bei der Untersuchung eines Sicherheitsvorfalls. Unbekannte hatten sich Zugang zum Computer eines Opfers verschafft, um Daten aus einem Unternehmensportal zu stehlen. Zu diesem Zweck luden sie eine gefährliche Chrome-Erweiterung auf den Computer des Opfers herunter und schleusten sie über den Entwicklermodus von Chrome ein.

Die Erweiterung selbst war als Sicherheits-Add-on des Anbieters Forcepoint getarnt. Sie enthielt den Schadcode, um die Sync-Funktion für den Datendiebstahl und die Kommunikation mit dem Browser benutzen zu können. So erhielten die Cyberkriminellen Zugang “zu einer internen Webanwendung, auf die das Opfer Zugriff hatte”.

Der schädliche Code legte nahe, dass der Angreifer die Erweiterung nutzte, um ein textbasiertes Feld zu erstellen, in dem Token Keys gespeichert wurden. Diese synchronisierte der kompromittierte Browser anschließend mit der Google Cloud. Abrufen konnte er diese Daten, indem er sich mit demselben Google-Konto in einer anderen Instanz von Chrome anmeldete – für diesen Zweck war auch ein Wegwerf-Konto geeignet.

Das Textfeld konnte der Analyse des Forschers zufolge beliebige Daten über beziehungsweise aus dem gekaperten Browser enthalten. Dazu gehörten Nutzernamen, Kennwörter, Kryptographieschlüssel oder eben auch Befehle, die der entfernte Browser ausführen sollte.

Die Kaperung der Sync-Funktion bot den Angreifern zudem die Möglichkeit, ihren eigenen Datenverkehr im legitimen Traffic des Chrome-Browsers zu verbergen. Dem Forscher zufolge wird solcher Datenverkehr in Unternehmen oft weder geprüft noch blockiert. Auch sei es nicht ohne weiteres möglich, pauschal den Traffic zu client4.google.com zu sperren, da darüber nicht nur die Sync-Funktion von Chrome abgewickelt werden. Stattdessen rät der Forscher, die Enterprise-Version von Chrome einzusetzen und per Gruppenrichtlinie die Installation von Browsererweiterungen zu beschränken.