Google versagt kläglich bei der Beseitigung bösartiger Erweiterungen
Google Chrome ist der am weitesten verbreitete Desktop-Browser mit einem beeindruckenden Marktanteil von 66% und 1,6 Milliarden aktiven Nutzer:innen. Ebenso beeindruckend ist die Zahl der verfügbaren Erweiterungen: Über 125.000 sind im Chrome Web Store (CWS) gelistet. Die große Beliebtheit des Browsers und damit auch seiner Erweiterungen hat jedoch auch eine Schattenseite. Laut einer Studie der Stanford University hat Google alle Hände voll zu tun, sein riesiges Erweiterungsimperium unter Kontrolle zu halten.
Die Studie fand heraus, dass trotz der strengen Tests, die Google angeblich für jede Erweiterung durchführt, das Ziel, die sichere Nutzung von Erweiterungen zu gewährleisten, oft verfehlt wird. Diese Tests kombinieren maschinelles Lernen und menschliche Überprüfung.
Laut dem Bericht ist das Risiko, das von potenziell schädlichen und extrem gefährlichen Erweiterungen ausgeht, enorm. Diese werden in der Studie als „Security-Noteworthy Extensions“ (SNE, Erweiterungen, deren Sicherheit zu beachten ist) bezeichnet. In den letzten drei Jahren haben über 346 Millionen Nutzer mindestens eine SNE installiert, besagt die Studie. Unter diesen Installationen haben 280 Millionen Nutzer:innen Erweiterungen heruntergeladen, die Malware enthalten, 63,3 Millionen haben Erweiterungen installiert, die gegen CWS-Richtlinien verstoßen, und 2,9 Millionen Nutzer:innen haben Erweiterungen installiert, bei denen Sicherheitslücken bekannt sind.
Selbst wenn wir die richtlinienwidrigen und anfälligen Erweiterungen außer Acht lassen, die keine akute Bedrohung darstellen, bleiben immer noch 280 Millionen mit Malware verseuchte Erweiterungen, die verschiedene Bedrohungen auslösen können, von bösartiger Werbung bis hin zu unsichtbarem Verfolgen und Ausspionieren der Nutzer:innen sowie dem möglichen Diebstahl sensibler Daten wie Anmeldedaten.
Zusammenfassend bedeuten diese Zahlen, dass Millionen von Nutzer:innen unwissentlich Bedrohungen ausgesetzt sind, die von Datendiebstahl bis zur Verletzung der Privatsphäre reichen, während sie glauben, ihren Browsern nützliche Funktionen hinzuzufügen.
Gefährliche Erweiterungen bleiben jahrelang im Chrome Store
Besonders beunruhigend ist, dass gutartige Erweiterungen — also solche, die weder Ihre Privatsphäre noch Ihre Sicherheit gefährden — tendenziell kürzer im Chrome Store bleiben als gefährliche Erweiterungen. Die Forscher:innen fanden heraus, dass gutartige Erweiterungen durchschnittlich 1.152 Tage im Store bleiben, während gefährliche Erweiterungen durchschnittlich 1.248 Tage oder mehr als 3 Jahre im Store bleiben. Erweiterungen, die Malware enthalten, verbleiben im Durchschnitt deutlich kürzer, aber immer noch länger als ein Jahr (380 Tage) im CWS.
Der Median für gutartige Erweiterungen beträgt 780 Tage, für risikoreiche Erweiterungen 1.213 Tage.
Die Studie stellt fest „Dies ist äußerst problematisch, da solche Erweiterungen die Sicherheit und die Privatsphäre ihrer Nutzer:innen über Jahre hinweg gefährden“.
Die durchschnittliche Lebensdauer von schädlichen Erweiterungen ist beunruhigend, aber einige Fälle sind noch schlimmer. Forscher:innen haben einen schockierenden Ausreißer gefunden: Eine mit Malware infizierte Erweiterung namens TeleApp, die unglaubliche 8,5 Jahre im CWS war! TeleApp wurde zuletzt im Dezember 2013 aktualisiert, also vor mehr als 10 Jahren, und blieb bis zu seiner Entfernung im Juni 2022 unbemerkt.
Ebenso beunruhigend ist die Tatsache, dass mit Malware infizierte Erweiterungen im Durchschnitt eine größere Nutzerbasis haben als gutartige Erweiterungen. Laut der Forschung haben gutartige Erweiterungen durchschnittlich 11.000 Nutzer:innen, während Erweiterungen, die Malware enthalten, mehr als doppelt so viele Nutzer:innen haben, nämlich 27.000.
Wie erkennt man eine schlechte Erweiterung?
Google scheint bei der Überprüfung von Erweiterungen keine gute Arbeit zu leisten. In der Studie steht es klar, dass die Google-Ingenieure während des Überprüfungsprozesses „zwar nach Erweiterungen suchen, die Malware enthalten oder gegen Regeln verstoßen, aber nicht die notwendigen Werkzeuge oder Verfahren haben, um anfällige Erweiterungen zu erkennen“.
Die Forscher:innen definieren anfällige Erweiterungen als solche, die Schwachstellen im Code haben. Diese Schwachstellen könnten von Angreifern ausgenutzt werden, um bösartige Angriffe wie den Diebstahl von Nutzerdaten oder das Einschleusen bösartiger Skripte auf Websites zu ermöglichen. Das bedeutet, dass Google viele potenziell gefährliche Erweiterungen nicht erkennt.
Wenn Google also Schwierigkeiten hat, die bösartigen Erweiterungen zu vertreiben, können die Nutzer:innen dann selbst aktiv werden und die Sache in die Hand nehmen? Das wäre ideal, ja. Doch wie die Forscher:innen betonen, ist dies in der Praxis unglaublich schwierig, da diese Erweiterungen auf den ersten Blick oft nicht auffallen.
So fanden die Forscher:innen beispielsweise heraus, dass die Bewertung nicht der beste Indikator für die Vertrauenswürdigkeit ist. Während ein erheblicher Teil der bösartigen (52%) und anfälligen (47%) Erweiterungen überhaupt keine Bewertung hat, fällt eine überraschend große Zahl der gutartigen Erweiterungen (32%) ebenfalls in diese Kategorie. Noch beunruhigender ist, dass die durchschnittliche Bewertung in allen Kategorien hoch ist: 5 für gutartige und richtlinienwidrige Erweiterungen, 4,9 für mit Malware infizierte Erweiterungen und 4,5 für anfällige Erweiterungen. Die Forscher:innen weisen darauf hin, dass Nutzer:innen oft die wahren Risiken der installierten Erweiterungen nicht kennen. Obwohl gefälschte oder manipulierte Bewertungen nicht ausgeschlossen werden können, scheint dies ein zweischneidiges Schwert zu sein, das sowohl gutartige als auch bösartige Erweiterungen betrifft.
Wie kann man also wissen, ob eine Erweiterung gut oder schlecht ist? Leider gibt es keine unfehlbaren Indikatoren, aber es ist wahrscheinlich am besten, sich den Entwickler und seine Arbeit anzuschauen.
Die Reputation der Entwickler: ein Hinweis, aber keine Garantie
Die Studie zeigt, dass Entwickler mit mindestens einer bösartigen Erweiterung im Durchschnitt mehr SNEs veröffentlichen als Entwickler mit mindestens einer gutartigen Erweiterung. Demnach veröffentlicht „ein Entwickler, der eine bösartige Erweiterung veröffentlicht hat, im Durchschnitt 3,6 gutartige, 4,9 Malware enthaltende, 1,4 richtlinienwidrige und 0,00093 anfällige Erweiterungen“. Die Studie legt auch nahe, dass ein Entwickler, der eine Malware enthaltende oder die Privatsphäre verletzende Erweiterung veröffentlicht hat, wahrscheinlich eine weitere dieser Erweiterungen veröffentlichen wird.
Interessanterweise zählten die Forscher 30 Entwickler mit jeweils mehr als 100 Erweiterungen, die Malware enthielten.
Es gibt jedoch einen wichtigen Unterschied zwischen bösartigen und anfälligen Erweiterungen. Während Malware und die Privatsphäre verletzende Erweiterungen oft von Wiederholungstätern stammen, scheinen Entwickler, die anfällige Erweiterungen veröffentlichen, auch viele gutartige Erweiterungen zu haben. Dies deutet darauf hin, dass es sich bei diesen Sicherheitslücken um unbeabsichtigte Fehler handeln könnte.
Bösartige Erweiterungen benötigen mehr Berechtigungen
Die Forscher:innen fanden heraus, dass SNEs mehr Zugriffsrechte auf Ihre Daten benötigen als gutartige Erweiterungen. Die mediane Anzahl der API-Rechte, die von Malware-enthaltenden und anfälligen Erweiterungen angefordert werden, beträgt 4, während richtlinienwidrige Erweiterungen 2 und gutartige Erweiterungen nur 1 benötigen.
Je mehr Berechtigungen eine Erweiterung hat, desto größer ist die Angriffsfläche.
Sowohl gutartige Erweiterungen als auch gefährliche Erweiterungen verwenden ähnliche APIs. Der Hauptunterschied liegt in der Berechtigung „topSites“, die den Zugriff auf die meistbesuchten Websites ermöglicht. Diese Berechtigung steht bei den bösartigen Erweiterungen an zweiter Stelle (sie wird von mehr als 4.000 Erweiterungen verwendet), wird aber nicht in den Top 10 der anderen Kategorien verwendet. Dies liegt wahrscheinlich daran, dass Malware Ihre Startseite auf neue Tabs umleitet, eine Funktion, die den Zugriff auf „topSites“ erfordert.
Die Situation ändert sich jedoch, wenn man die Host-Berechtigungen (Zugriff auf bestimmte Websites) betrachtet. Berechtigungen, die den Zugriff auf alle URLs erlauben, wie <all_urls> oder http://, sind bei gutartigen und anfälligen Erweiterungen beliebt. Im Gegensatz dazu zielen bösartige und regelwidrige Erweiterungen häufig auf bestimmte Google-Subdomains ab. Dies deutet darauf hin, dass Malware-Entwickler möglicherweise absichtlich Berechtigungen vermeiden, die eine Überprüfung durch Google auslösen könnten.
Was ist mit Updates?
Eine große Quelle für Schwachstellen und damit ein Risiko für die Nutzer:innen sind Erweiterungen, die seit Jahren nicht mehr aktualisiert wurden und daher durch ungepatchte Sicherheitslücken anfälliger für verschiedene Angriffe sind.
Die Forscher:innen fanden heraus, dass 60% aller verfügbaren Erweiterungen nie aktualisiert wurden. Das macht sie zu einer leicht ausnutzbaren Quelle. Vielleicht noch schockierender ist die Tatsache, dass die Hälfte der Erweiterungen, von denen bekannt ist, dass sie angreifbar sind (d. h. deren Sicherheitslücken öffentlich gemeldet wurden), zwei Jahre nach der Bekanntgabe ihrer Sicherheitslücken im Chrome Store ungepatcht bleiben.
Fazit
Da sich die Nutzer:innen immer mehr auf Erweiterungen verlassen, um ihr Browsing zu verbessern, sind sowohl die Entwickler als auch die Plattformbetreiber, wie Google, in der Verantwortung, der Sicherheit Priorität einzuräumen. Die Rolle von Google ist besonders wichtig, wenn es um mit Malware infizierte Erweiterungen geht, die von den Entwicklern absichtlich so gestaltet wurden.
Eine verstärkte Überwachung, eine strengere Durchsetzung der Richtlinien und eine bessere Aufklärung der Nutzer:innen sind entscheidende Schritte, um diese Risiken zu mindern und eine sicherere Browserumgebung für Millionen von Chrome-Nutzer:innen weltweit zu gewährleisten.
