Google hat 34 bösartige Browsererweiterungen aus seinem Chrome Web Store entfernt, die zusammen eine Download-Zahl von 87 Millionen aufwiesen. Obwohl diese Erweiterungen über legitime Funktionen verfügten, konnten sie Suchergebnisse verändern und Spam oder unerwünschte Werbung verbreiten.
Letzten Monat entdeckte ein unabhängiger Cybersicherheitsforscher Wladimir Palant eine Browsererweiterung namens „PDF Toolbox“ (2 Millionen Downloads) für Google Chrome verfügte über einen geschickt getarnten, verschleierten Code, um Benutzer über die potenziellen Risiken auf dem Laufenden zu halten.
Chrome Web Store entfernt 34 schädliche Erweiterungen mit 87 Millionen Downloads
Der Forscher analysierte die PDF Toolbox-Erweiterung und veröffentlichte am 16. Mai einen detaillierten Bericht. Er erklärte, dass der Code so gestaltet sei, dass er wie ein legitimer Erweiterungs-API-Wrapper aussehe. Aber leider erlaubte dieser Code der Website „serasearchtop[.]com“, beliebigen JavaScript-Code in jede von einem Benutzer aufgerufene Webseite einzufügen.
Dem Bericht zufolge hat die Diebstahl sensibler Informationen. Der Zweck des Codes blieb jedoch unbekannt, da Palant keine böswilligen Aktivitäten erkannte.
Der Forscher fand außerdem heraus, dass der Code so eingestellt war, dass er 24 Stunden nach der Installation der Erweiterung aktiviert wird, was auf böswillige Absichten hindeutet, so der Bericht erwähnt.
Als Palant seine Untersuchung fortsetzte, fand er zwei Varianten des Codes die sehr ähnlich waren, aber geringfügige Unterschiede aufwiesen:
Die erste Variante tarnt sich als Mozillas WebExtension-Browser API Polyfill. Die Download-Adresse „config“ lautet https://serasearchtop.com/cfg/
Beide Varianten behalten jedoch den exakten Mechanismus zur Injektion willkürlichen JS-Codes bei, der serasearchtop[.]com beinhaltet.
Während der Forscher den Schadcode nicht in Aktion beobachtet hat, bemerkte er Mehrere Benutzerberichte und Rezensionen im Web Store weisen darauf hin, dass die Erweiterungen Suchergebnisse kaperten und sie willkürlich an eine andere Stelle weiterleiteten.
Obwohl Palant seine Ergebnisse an Google weitergab, blieben die Erweiterungen erhalten verfügbar im Chrome Web Store. Erst nachdem das Cybersicherheitsunternehmen Avast den bösartigen Charakter der Chrome-Erweiterungen bestätigt hatte, wurden sie vom Suchriesen offline genommen.
Palant hatte listete 34 bösartige Erweiterungen auf seiner Website auf, mit einer Gesamtanzahl von Downloads von 87 Millionen. Bislang wurden alle diese schädlichen Erweiterungen von Google aus dem Chrome Web Store entfernt. Dadurch werden sie jedoch nicht automatisch in ihren Webbrowsern deaktiviert oder deinstalliert. Daher wird Benutzern empfohlen, sie manuell von ihren Geräten zu deinstallieren.
