Tausende Chrome-Erweiterungen, die über den offiziellen Chrome Web Store verbreitet werden, setzen den Nutzer einem massiven Sicherheits-Risiko aus. Und das nicht etwa durch eigene Schwachstellen, sondern weil sie ungefragt Security-Funktionen deaktivieren.
Bisherige Untersuchungen zur Sicherheitslage bei den Browser-Erweiterungen drehten sich in der Regel um die Qualität der kleinen Programme selbst. Nun aber nahmen Mitarbeiter des CISPA Helmholtz Zentrums für IT-Sicherheit unter die Lupe, was die Codes eigentlich sonst so tun. Und hier förderten sie eine beunruhigende Tatsache zu Tage: Zahlreiche Chrome-Erweiterungen nehmen einfach Änderungen an den HTTP-Security-Headern vor.
Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Tiefer Eingriff
Weiterhin sorgen die Security-Header für den Aufbau ordentlich verschlüsselter Verbindungen, den Schutz vor XXS-Angriffen und einigem mehr. Daher stellt es ein nicht zu verachtendes Problem dar, wenn die Erweiterungen einfach in die Kommunikation zwischen Browser und Server eingreifen und Änderungen an ihnen vornehmen.
Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Anmelden
Tausende Chrome-Erweiterungen, die über den offiziellen Chrome Web Store verbreitet werden, setzen den Nutzer einem massiven Sicherheits-Risiko aus. Und das nicht etwa durch eigene Schwachstellen, sondern weil sie ungefragt Security-Funktionen deaktivieren.
Bisherige Untersuchungen zur Sicherheitslage bei den Browser-Erweiterungen drehten sich in der Regel um die Qualität der kleinen Programme selbst. Nun aber nahmen Mitarbeiter des CISPA Helmholtz Zentrums für IT-Sicherheit unter die Lupe, was die Codes eigentlich sonst so tun. Und hier förderten sie eine beunruhigende Tatsache zu Tage: Zahlreiche Chrome-Erweiterungen nehmen einfach Änderungen an den HTTP-Security-Headern vor.