Opera schützt User vor Sicherheitslücke! : Opera-Patch schließt kritisches Datenleck
Ein neuer Patch für den Opera-Webbrowser behebt eine kritische Sicherheitslücke, die es schädlichen Erweiterungen ermöglichte, unbefugten Zugriff auf private APIs und sensible Daten zu erlangen. Es ist daher ratsam, den Browser umgehend zu aktualisieren, um sich vor möglichen Angriffen zu schützen.
Der Angriff mit dem Codenamen CrossBarking hätte es Angreifern laut Guardio Labs ermöglicht, verschiedene schädliche Aktionen durchzuführen, wie das Aufnehmen von Screenshots, das Ändern von Browsereinstellungen und das Übernehmen von Konten.
Um das Problem zu verdeutlichen, hat Guardio Labs eine scheinbar harmlose Browser-Erweiterung im Chrome Web Store veröffentlicht. Wenn diese Erweiterung in Opera installiert wurde, konnte sie die Sicherheitslücke ausnutzen. Dies wird als Cross-Browser-Store-Angriff bezeichnet.
„Diese Fallstudie zeigt nicht nur den ständigen Konflikt zwischen Produktivität und Sicherheit, sondern gibt auch interessante Einblicke in die Taktiken moderner Bedrohungsakteure, die oft unbemerkt agieren“, so Nati Tal, Leiterin von Guardio Labs, in einem Bericht.
Das Problem wurde von Opera relativ zügig nach seinem Bekanntwerden am 24. September 2024 behoben. Es ist jedoch nicht das erste Mal, dass Sicherheitslücken in diesem Browser entdeckt werden.
Anfang Januar dieses Jahres wurde eine Schwachstelle namens MyFlaw entdeckt. Diese Schwachstelle nutzt eine legitime Funktion namens My Flow aus, um potenziell beliebige Dateien auf dem zugrunde liegenden Betriebssystem auszuführen. Das bedeutet, dass Angreifer durch diese Schwachstelle die Kontrolle über das System erlangen könnten, indem sie beliebige Dateien ausführen.
Die neueste Angriffstechnik beruht darauf, dass mehrere öffentlich zugängliche Subdomänen von Opera privilegierten Zugriff auf private, im Browser eingebettete APIs haben. Diese Domains unterstützen Opera-spezifische Funktionen wie Opera Wallet und Pinboard sowie interne Entwicklungsfunktionen.
Hier eine Liste der bekannten Domains – einschließlich Drittanbieter-Domains:
- crypto-corner.op-test.net
- op-test.net
- gxc.gg
- opera.atlassian.net
- pinboard.opera.com
- instagram.com
- yandex.com
Während Sandboxing dafür sorgt, dass der Browser vom Rest des Betriebssystems isoliert bleibt, hat Guardio in seinen Untersuchungen herausgefunden, dass Inhaltsskripte in einer Browsererweiterung verwendet werden können, um schädliches JavaScript in unsichere Domains einzuschleusen und damit Zugriff auf private APIs zu erhalten.
„Das Inhaltsskript hat Zugriff auf das DOM (Document Object Model)“, so Tal. „Das bedeutet, dass es das DOM dynamisch ändern kann, beispielsweise indem es neue Elemente hinzufügt.“
Durch diesen Zugriff könnte ein Angreifer Screenshots von allen geöffneten Registerkarten machen, Sitzungscookies stehlen, um Konten zu übernehmen, und sogar die DNS-over-HTTPS-Einstellungen (DoH) des Browsers ändern. Dadurch könnte der Angreifer dafür sorgen, dass Anfragen an einen von ihm kontrollierten DNS-Server geleitet werden.
Dies könnte die Grundlage für effektive Adversary-in-the-Middle (AitM)-Angriffe bilden. Dabei würden die Opfer beim Besuch von Bank- oder Social-Media-Websites auf gefälschte Seiten umgeleitet, welche die Angreifer kontrollieren.
Die bösartige Erweiterung könnte als harmlose Erweiterung in einem der Add-on-Kataloge, wie dem Google Chrome Web Store, veröffentlicht werden. Von dort könnten Nutzer sie herunterladen und zu ihrem Browser hinzufügen, wodurch der Angriff in Gang gesetzt wird. Um jedoch erfolgreich zu sein, benötigt die Erweiterung die Erlaubnis, JavaScript auf jeder Webseite auszuführen, insbesondere auf solchen, die Zugriff auf die privaten APIs haben.
Angesichts der Tatsache, dass immer wieder schädliche Browser-Erweiterungen in offizielle Stores gelangen – ganz zu schweigen von legitimen Erweiterungen, deren Datenerfassungspraktiken völlig intransparent sind, zeigen die Ergebnisse, wie wichtig es ist, Erweiterungen vor der Installation gründlich zu checken.
„Browser-Erweiterungen haben große Macht – sowohl zum Guten als auch zum Schlechten“, erklärt Tal. „Deshalb müssen die Aufsichtsbehörden sie streng kontrollieren.“
Er betont, dass das aktuelle Überprüfungsmodell unzureichend ist. Es sollte mit mehr Personal und kontinuierlichen Analysemethoden ergänzt werden, welche die Aktivitäten einer Erweiterung auch nach ihrer Genehmigung überwachen. Außerdem ist es wichtig, dass für Entwicklerkonten eine gründliche Identitätsüberprüfung durchgeführt wird. Das bedeutet, dass es nicht genug sein darf, sich einfach mit einer kostenlosen E-Mail-Adresse und einer Prepaid-Kreditkarte anzumelden. Nur so kann sichergestellt werden, dass die Entwickler von Erweiterungen tatsächlich identifiziert und überprüft werden.