Erste Chrome-Erweiterungen aufgetaucht, die Session-Replay zur Spionage missbrauchen
Sicherheitsforscher warnen vor betrügerischen Erweiterungen für Chrome, die heimlich Texteingaben von Opfern auf Webseiten mitschneiden.
(Bild: pixabay)
Im offiziellen Web Store für den Webbrowser Chrome sind präparierte Erweiterungen aufgetaucht, die eine eigentlich legitime Technik namens Session-Replay zum Erfassen von Texteingaben auf Webseiten missbräuchlich verwenden. So können die Hintermänner der Erweiterungen etwa persönliche Daten von Opfern mitschneiden.
Das Softwareunternehmen Trend Microt hat 89 derartiger Erweiterungen in einem Dokument aufgelistet. Insgesamt weisen die Erweiterungen 423.000 Installationen auf. Stichproben von heise Security haben ergeben, dass der Großteil bereits nicht mehr im Web Store verfügbar ist.
Nicht eindeutig erkennbar
Trend Micro geht davon aus, dass die Erweiterungen von ein und derselben Gruppe stammen, die sie Droidclub getauft haben. Gemein ist den Erweiterungen, dass sie zufällig zusammengewürfelte Namen wie "Toss Carnival Game" oder "Homemade Frozen Pizza" tragen. Zudem sind sie mit unnützen Beschreibungen versehen. Ein Patentrezept zum Erkennen derartiger Erweiterungen gibt es bislang aber noch nicht. Droidclub soll die Erweiterungen über Webseiten bewerben, die von Adware-Malware anzeigt werden.
Die Erweiterungen sollen legitimen Session-Replay-Code der russischen Suchmaschine Yandex nutzen. Damit können die Erweiterungen Nutzeraktionen auf allen besuchten Webseiten aufzeichnen. So könnten etwa Kreditkartendaten oder Adressen in die Hände von Kriminellen fallen.
Passwörter in Gefahr?
Ob man in diesen Fällen auf diesem Weg auch Passwörter erfassen kann, ist derzeit unklar. Sicherheitsforscher, die Session-Replay-Aktivitäten auf vielen Webseiten untersucht haben, haben eigenen Angaben zufolge während ihren Untersuchungen aufgezeichnete Passwörter gefunden, obwohl diese explizit nicht erfasst werden sollten. (des)
