Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Sicherheitslücke im Browser: : Wie beliebte Chrome-Erweiterungen sensible Daten preisgeben

Sie sind bequem, beliebt – und in vielen Fällen ein massives Sicherheitsrisiko: Chrome-Erweiterungen. Eine neue Analyse zeigt, dass selbst populäre Add-ons mit Hunderttausenden Nutzern gravierende Sicherheitslücken aufweisen. Unverschlüsselte HTTP-Kommunikation, fest im Code verankerte Zugangsdaten und mangelhafte Architektur gefährden die Privatsphäre von Anwendern.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

Einer der grundlegendsten Sicherheitsfehler, den Browser-Erweiterungen machen können, ist die Übertragung von Daten über das veraltete und unverschlüsselte HTTP-Protokoll anstelle von HTTPS. Symantec identifizierte mehrere Erweiterungen, die sensible Nutzungsdaten in Klartext versenden – darunter Informationen wie:

  • Betriebssystem und Browser-Version
  • Eindeutige Gerätekennungen (Machine IDs)
  • Nutzungsmetriken
  • Deinstallationsereignisse

Besonders brisant: Diese Daten werden unverschlüsselt über das Netzwerk verschickt und sind damit anfällig für sogenannte Adversary-in-the-Middle-Angriffe (AitM). In öffentlichen WLANs etwa können Angreifer den Datenverkehr problemlos mitschneiden, analysieren oder sogar manipulieren. Die potenziellen Folgen reichen von gezieltem Profiling über Phishing-Kampagnen bis hin zur Malware-Verbreitung.

Zu den betroffenen Erweiterungen gehören unter anderem:

  • SEMRush Rank und PI Rank: übermitteln Informationen an „rank.trellian[.]com“ via HTTP
  • Browsec VPN: sendet beim Deinstallationsprozess eine ungesicherte HTTP-Anfrage
  • MSN New Tab und MSN Homepage, Bing Search & News: übertragen eindeutige Kennungen an „g.ceipmsn[.]com“
  • DualSafe Password Manager & Digital Vault: nutzt HTTP, um Telemetriedaten (z. B. Version, Sprache, Nutzungsart) zu „stats.itopupdate[.]com“ zu übertragen

Obwohl keine Passwörter direkt offengelegt wurden, kritisieren die Sicherheitsexperten zurecht: Ein Passwortmanager, der unverschlüsselte Telemetrie überträgt, untergräbt das eigene Sicherheitsversprechen.

Hard-Coded Credentials: Einladungen für Missbrauch

Noch schwerwiegender ist der Zugriff auf fest im Code hinterlegte API-Schlüssel, Tokens und Zugangsdaten. Diese Informationen sind im öffentlich einsehbaren JavaScript-Code enthalten und können von jedem mit grundlegenden Entwicklungskenntnissen extrahiert und missbraucht werden.

Die Risiken sind vielfältig:

  • Missbrauch von Cloud-Ressourcen (z. B. Amazon S3, Azure Speech Services)
  • Manipulation von Analysemetriken (z. B. Google Analytics 4)
  • Missbrauch von Telemetrie- und Logging-Endpunkten
  • Erstellung gefälschter Transaktionen im Kontext von Web3- oder Krypto-Apps
  • Kostenexplosionen für Entwickler durch API-Overuse

Beispielhafte betroffene Erweiterungen:

  • AVG Online Security und Online Security & Privacy: enthalten hardcodierte GA4-Secrets
  • Equatio – Math Made Digital: verwendet einen Azure Speech API Key im Klartext
  • Awesome Screenshot und Scrolling Screenshot Tool: offenbaren AWS-Zugangsdaten zur Screenshot-Übertragung
  • Microsoft Editor: integriert einen öffentlich sichtbaren Telemetrie-API-Schlüssel
  • Trust Wallet: zeigt einen API-Key für Ramp Network (Krypto-Zahlungsabwicklung)
  • TravelArrow: nutzt einen nicht geschützten Geolocation-Schlüssel von „ip-api[.]com“
  • Watch2Gether: enthält einen API-Schlüssel für die Tenor GIF-Suche
  • Antidote Connector: nutzt eine Drittanbieter-Bibliothek (InboxSDK) mit hartkodierten Zugangsdaten – über 90 weitere Erweiterungen könnten betroffen sein

Ein kompromittierter API-Schlüssel kann Angreifern ermöglichen, illegal Inhalte zu hosten, falsche Nutzerdaten zu senden, Entwicklerkonten zu sperren oder deren Dienste gezielt zu sabotieren.

Architekturfehler mit System

Die Hauptursache dieser Schwachstellen ist ein grundlegender Designfehler: Vertrauenswürdige Zugangsdaten haben im Client nichts zu suchen. Sie gehören in abgesicherte Backends mit Zugriffskontrolle, Authentifizierung und regelmäßigem Schlüsselwechsel. Der Sicherheitsexperte Yuanjing Guo bringt es auf den Punkt: „Einige Zeilen schlecht platzierter Code reichen aus, um ganze Dienste zu gefährden.“

Gerade bei Open-Source-Erweiterungen oder kommerziellen Produkten ohne formalisierte Sicherheitsprozesse sind solche Fehler keine Ausnahme, sondern die Regel. In einem Fall wurde der vorhandene Schlüssel sogar als „akzeptiertes Risiko“ in einem ISO27001-Risiko-Register festgehalten – ein alarmierendes Beispiel für falsche Risikoabwägung in der Produktentwicklung.

Handlungsempfehlungen für Entwickler

Entwickler sollten grundlegende Sicherheitsprinzipien befolgen, um solche Angriffsvektoren zu verhindern:

  • Verzicht auf HTTP: Datenübertragung ausschließlich über HTTPS
  • Keine Secrets im Client: API-Schlüssel, Tokens und Zugangsdaten gehören in das Backend
  • Verwendung sicherer Credential-Management-Systeme (z. B. HashiCorp Vault, AWS Secrets Manager)
  • Rotation von Secrets: regelmäßig neue Tokens generieren, alte widerrufen
  • Code Audits und Penetration Testing: auch für Browsererweiterungen notwendig
  • Minimierung von Drittanbieterbibliotheken mit potenziellen Sicherheitsrisiken

Was Nutzer tun sollten

Für Endanwender gilt: Vertrauen ist keine Sicherheitsstrategie. Auch hoch bewertete oder weit verbreitete Erweiterungen können gefährlich sein. Pflicht-To-Do´s sind:

  • Regelmäßige Überprüfung installierter Erweiterungen auf Funktionsumfang und Herkunft
  • Entfernung von Erweiterungen mit übermäßigen oder nicht nachvollziehbaren Berechtigungen
  • Bevorzugung aktiv gepflegter Erweiterungen mit transparentem Datenschutzkonzept und nachvollziehbarem Änderungsprotokoll
  • Einsatz zusätzlicher Datenschutztools wie uBlock Origin oder Script-Blocker zur Kontrolle aktiver Skripte
  • Verzicht auf nicht zwingend notwendige Erweiterungen bei sicherheitskritischen oder vertraulichen Tätigkeiten

Fazit: Sicherheit muss mitgedacht werden

Die Analyse von Symantec ist ein Weckruf für die Entwickler- und User-Community gleichermaßen: Chrome-Erweiterungen haben direkten Zugriff auf Browserdaten, Cookies, Passwörter und Webinhalte – und damit auch auf die digitale Identität der Nutzer.

Wenn diese Erweiterungen fahrlässig mit Zugangsdaten und Kommunikationsprotokollen umgehen, kann selbst ein scheinbar harmloses Tool zur Einfallstür für Spionage, Datenklau oder Systemmissbrauch werden. Die wichtigste Erkenntnis: Auch bei Browsererweiterungen müssen Datenschutz, IT-Security und Software-Architektur von Anfang an zusammengedacht werden – sonst wird aus einem nützlichen Helfer ein gefährlicher Risikofaktor.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.