Hacker stehlen Daten mithilfe von Chromes Sync-Funktion

Der kroatische Sicherheitsforscher Bojan Zdrnja hat eine schädliche Erweiterung für den Google-Browser Chrome entdeckt. Sie missbraucht dessen Synchronisationsfunktion, um Daten von Nutzern zu stehlen, Firewall-Einstellungen und andere Sicherheitsmaßnahmen zu umgehen und Befehle an infizierte Browser zu senden.

Eigentlich soll Chrome Sync Kopien von diversen Browserdaten speichern und mit der Google Cloud abgleichen, sodass mehrere Instanzen des Browser auf unterschiedlichen Geräten auf diese Daten zugreifen können. Synchronisiert werden unter anderem Lesezeichen, der Browserverlauf sowie Einstellungen für den Browser und dessen Erweiterungen.

Aufmerksam wurde Zdrnja die Erweiterung und denn Missbrauch der Sync-Funktion bei der Untersuchung eines Sicherheitsvorfalls. Unbekannte hatten sich Zugang zum Computer eines Opfers verschafft, um Daten aus einem Unternehmensportal zu stehlen. Zu diesem Zweck luden sie eine gefährliche Chrome-Erweiterung auf den Computer des Opfers herunter und schleusten sie über den Entwicklermodus von Chrome ein.

Die Erweiterung selbst war als Sicherheits-Add-on des Anbieters Forcepoint getarnt. Sie enthielt den Schadcode, um die Sync-Funktion für den Datendiebstahl und die Kommunikation mit dem Browser benutzen zu können. So erhielten die Cyberkriminellen Zugang “zu einer internen Webanwendung, auf die das Opfer Zugriff hatte”.

Der schädliche Code legte nahe, dass der Angreifer die Erweiterung nutzte, um ein textbasiertes Feld zu erstellen, in dem Token Keys gespeichert wurden. Diese synchronisierte der kompromittierte Browser anschließend mit der Google Cloud. Abrufen konnte er diese Daten, indem er sich mit demselben Google-Konto in einer anderen Instanz von Chrome anmeldete – für diesen Zweck war auch ein Wegwerf-Konto geeignet.

Das Textfeld konnte der Analyse des Forschers zufolge beliebige Daten über beziehungsweise aus dem gekaperten Browser enthalten. Dazu gehörten Nutzernamen, Kennwörter, Kryptographieschlüssel oder eben auch Befehle, die der entfernte Browser ausführen sollte.

Die Kaperung der Sync-Funktion bot den Angreifern zudem die Möglichkeit, ihren eigenen Datenverkehr im legitimen Traffic des Chrome-Browsers zu verbergen. Dem Forscher zufolge wird solcher Datenverkehr in Unternehmen oft weder geprüft noch blockiert. Auch sei es nicht ohne weiteres möglich, pauschal den Traffic zu client4.google.com zu sperren, da darüber nicht nur die Sync-Funktion von Chrome abgewickelt werden. Stattdessen rät der Forscher, die Enterprise-Version von Chrome einzusetzen und per Gruppenrichtlinie die Installation von Browsererweiterungen zu beschränken.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

11 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

12 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

12 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

17 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago