Beliebte Chrome-Erweiterungen zur Werbeschleuder mutiert
Einige beliebte Chrome-Erweiterungen werden offenbar zur Verbreitung dubioser Werbeanzeigen missbraucht. Wer eine davon installiert hat, sollte sie umgehend entfernen.
(Bild: Chris White)
- Ronald Eikenberg
Einige beliebte Browser-Erweiterungen werden offenbar zur Verbreitung dubioser Werbeanzeigen missbraucht. Betroffen sind laut dem Web-Entwickler Chris White die Erweiterungen Live HTTP Headers, Inject jQuery, W3Schools Hider und HTTP Headers. Möglicherweise gibt es weitere, die bislang noch nicht entdeckt wurden. Nach derzeitigem Kenntnisstand sind lediglich die Chrome-Versionen der Extensions betroffen.
Zunächst ist das Verhalten dem reddit-Nutzer hume_reddit bei Live HTTP Headers aufgefallen. Nach und nach stellte sich heraus, dass auch andere Erweiterungen damit begonnen haben, aggressiv Anzeigen zu verbreiten, indem sie etwa JavaScript von der folgenden URL in die aufgerufenen Webseiten injizieren: s3.eu-central-1.amazonaws.com/forton/live_http_headers.js
Die Hintergründe sind derzeit noch unklar. Es handelt sich um durchaus beliebte Erweiterungen, die sich an Webentwickler und Hacker richten. Möglich wäre, dass die Accounts der Entwickler kompromittiert wurden. Man kann aber auch nicht ausschließen, dass die Entwickler ihre Erweiterungen schlicht verkauft haben. Die Extensions werben nach der Mutation etwa fürs Fettabsaugen und Anti-Aging-Creme.
Über den Chrome Web Store verteilt
Die manipulierten Erweiterungen werden über den von Google betriebenen Chrome Web Store verteilt – wahrscheinlich auch als Update an Nutzer, die sie vor der Modifikation installiert haben. Einige hat Google inzwischen aus seinem Sortiment gelöscht, der W3Schools Hider ist aber nach wie vor verfügbar. Die Erweiterung wurde zuletzt am 10. November aktualisiert – vermutlich wurden an diesem Tag die Werbemaßnahmen eingebaut.
Auch wer keine der oben genannten Erweiterungen installiert hat, sollte die aktuellen Ereignisse zum Anlass nehmen, die Liste der installierten Browser-Extensions auszumisten. Browser-Erweiterungen haben weitreichende Befugnisse und dürfen zum Beispiel alle aufgerufenen Webseiten mitlesen und modifizieren. Aus diesem Grund klinken sich auch Online-Banking-Trojaner gerne als Erweiterungen in den Browser ein. Sie missbrauchen die vorhandenen Möglichkeiten, um etwa das Ziel einer Überweisung zu ändern oder um Transaktionen vor dem Nutzer zu verstecken.
CSP kann helfen
Webmaster haben eine Möglichkeit, Nutzer davor zu schützen, dass bösartige Browser-Erweiterungen Code einschleusen. Dazu muss der Webmaster eine Content Security Policy (CSP) definieren, die feingranuliert festlegt, ob und welche aktiven Inhalte auf seiner Website ausgeführt werden dürfen. Kommt es zu einem Verstoß gegen die Policy, erstattet der Browser dem Webseitenbetreiber Bericht. Der Security Consultant Scott Helme berichtet, dass er im aktuellen Fall viele solcher Berichte von den Browsern seiner Besucher erhalten hat. (rei)
