Browser-Erweiterungen versprechen eine wunderbare Welt voll Effizienz, Unterhaltung und individueller Anpassung, komfortabel nutzbar und direkt abrufbar. Was aber, wenn all diese verheißungsvollen Versprechungen mit verborgenen Risiken verbunden sind? Unser Expertenteam von SURGe hat genau das untersucht und dabei die gesamte Palette der Browser-Erweiterungen unter die Lupe genommen, die Google im Chrome Web Store zur Verfügung stellt. Die Ergebnisse beleuchten wir in dieser Blog-Reihe. Ziel dieser Untersuchung war es in erster Linie zu klären, ob das verbesserte Surferlebnis dieser Browser-Erweiterungen, womöglich auch versteckte Bedrohungen mit sich bringen. Dieser Blog legt den Grundstein für die Blog-Reihe. In Teil 2 erläutern wir unsere Analysemethodik und im dritten Teil fassen wir unsere Erkenntnisse zusammen und geben allgemeine Empfehlungen. Im vierten und letzten Teil stellen wir außerdem noch eine Threat-Hunting-Methode vor, die sich auf Data Science nach dem PEAK-Framework des SURGe-Teams stützt.
Die weite Welt der Browser-Erweiterungen
Die Auswahl an Erweiterungen im Chrome Web Store ist geradezu schwindelerregend: Zum Zeitpunkt unserer Untersuchung Mitte Mai 2023 standen rund 140.000 zur Auswahl. Abgedeckt werden damit Anforderungen, die von alltäglich über hochspezifisch bis hin zu durchaus kurios reichen. So sind so manche dieser Erweiterungen für den modernen Internetnutzer beinahe schon unabdingbar. Eine Analyse, welches Sicherheitsrisiko von ihnen ausgeht, erweist sich dementsprechend allerdings als äußerst komplex. Denn uns ging es darum, nicht einfach nur Zahlen zusammenzurechnen oder Feature-Sets durchzugehen. Vielmehr haben wir ganz genau unter die Lupe genommen, wie diese Erweiterungen etwa mit Benutzerdaten interagieren, welche Berechtigungen und Authentifizierungsbereiche sie anfordern und mit welchen Domains und URLs sie im Austausch stehen. Für die Analyse kommt erschwerend hinzu, dass diese Erweiterungen eine Vielzahl potenzieller Bedrohungen beinhalten können – von JavaScript-Schadcode bis hin zu gebündelten Binärdateien und diversen weiteren Dateitypen. Die Frage ist zudem, ob diese Erweiterungen ausschließlich in eurem Interesse agieren oder womöglich unbemerkt im Hintergrund eure Tastenanschläge oder auch Daten aus eurer Kamera oder eurem Mikrofon aufzeichnen.
Sicherheitsrisiken in der Rückschau
Die Methodik unserer Untersuchung basierte zwar nicht auf früheren Erfahrungswerten. Ein Blick in die Historie böswilliger Chrome-Erweiterungen liefert aber dennoch wertvollen Kontext für das generelle Risikopotenzial. Einige der wichtigsten Beispiele hierfür:
- DataSpii: Bei diesem Incident kam es zu einem Datenleck von enormer Tragweite, an dem gleich mehrere Chrome-Erweiterungen beteiligt waren. Dem Gesamtkonstrukt gaben Experten dann den Namen „DataSpii“, das Erweiterungen wie etwa „Hover Zoom“ und „SpeakIt!“ beinhaltete, die Browser-Verläufe, personenbezogene Informationen und andere persönliche Daten erfassten und weitergaben.
- Particle for YouTube: Ursprünglich war diese Erweiterung harmlos, doch nach ihrem Verkauf an einen anderen Entwickler fiel sie durch böswilliges Verhalten in Form von nicht genehmigten Werbeeinblendungen und der Erfassung von Benutzerdaten auf.
- Web Developer for Chrome: Im Zuge der Kompromittierung dieses beliebten Tools im Jahr 2017 wurde es von böswilligen Akteuren zur Einschleusung von Adware und für Phishing-Angriffe genutzt. Betroffen waren große Zahlen von Benutzern.
Diese Fälle dienen als Hintergrund für unsere Untersuchung und machen deutlich, welche Risiken das Ökosystem der Browser-Erweiterungen für Chrome bergen kann. Umso klarer wird dadurch zudem, warum es so wichtig ist, aktuelle Erweiterungen gründlich zu untersuchen. Historische Fälle wie die genannten waren zwar kein direkter Orientierungspunkt für unsere Untersuchung. Sie zeigen aber, dass die Aufdeckung potenzieller Schwachstellen in aktuellen Erweiterungen unerlässlich ist.
Es geht uns dabei auch keineswegs darum, Ängste zu schüren. Vielmehr wollen wir ein Bewusstsein für die Risiken schaffen, die mit diesen Erweiterungen einhergehen können, damit User und Entwickler sie stärker im Auge behalten. So ergänzt dieser Teil unserer Blog-Reihe die Erkenntnisse unserer Untersuchung, indem er die konkreten Folgen übersehener Schwachstellen in Erweiterungen aufzeigt und verdeutlicht, wie wichtig es ist, den ständig wachsenden Markt für Browser-Erweiterungen fortlaufend zu prüfen.
Ziele
Hinter unserer Untersuchung stand ein so klar definiertes wie ambitioniertes Ziel: sämtliche im Chrome Web Store öffentlich verfügbaren Erweiterungen auf ihre Sicherheitsrisiken durchleuchten. Untersucht haben wir hierzu Berechtigungen, Authentifizierungsbereiche und andere statische Attribute der Erweiterungen. Außerdem wollten wir nachvollziehen, inwieweit diese Erweiterungen Standards für Sicherheit und Datenschutz erfüllen und was dies für User und Entwickler bedeutet.
So soll die Untersuchung Chrome-Usern Klarheit zu den Erweiterungen vermitteln, die sie womöglich ganz alltäglich nutzen, potenziell damit verbundene Risiken aufzeigen und Best Practices zur Prävention vermitteln. Entwicklern wiederum soll sie nützliche Erkenntnisse dazu liefern, wie sie einerseits optimale Funktionalität gewährleisten können, andererseits aber auch Sicherheit und Datenschutz für die User. Zudem trägt sie ganz allgemein zur so wichtigen Diskussion um Datenschutz und Sicherheit im digitalen Raum bei. Denn kaum ein Tool wird heute wohl so umfangreich genutzt wie Webbrowser. Umso wichtiger ist es also, die Spezifika und potenziellen Auswirkungen der dafür verfügbaren Erweiterungen zu kennen. Google selbst leitet bereits großartige Arbeit, wenn es darum geht, die Sicherheit des Chrome-Browsers und zugehöriger Erweiterungen kontinuierlich zu verbessern. Einen Leitfaden mit Informationen über die potenziellen Risiken von Erweiterungen stellt Google auf dieser Seite zur Verfügung.
Pipeline: Mehr als nur Risikobewertung
Den Anstoß für unsere Untersuchung gab die Idee, eine als Open Source verfügbare Software-Pipeline für die Risikobewertung von Chrome-Erweiterungen zu entwickeln. So sollte ein Tool zur Bewertung potenzieller Bedrohungen entstehen, das von der Community angepasst und sukzessive verbessert werden kann. Als Anregung dienten dabei bestehende Lösungen wie CRXcavator und Spin.ai, unsere Pipeline sollte allerdings komplett offen und flexibel adaptierbar sein. Denn out-of-the-box verfügbare Angebote sind nicht immer für jeden geeignet.
Im Rahmen der von uns entwickelten Pipeline werden Erweiterungen im Hinblick auf verschiedene Aspekte wie Berechtigungen, OAuth2-Scopes und Richtlinien zur Content-Sicherheit analysiert. Zudem haben wir funktionsstarke Tools integriert, darunter etwa DomainTools und Splunk Attack Analyzer zur URL- und Domain-Analyse sowie retire.js, mit dessen Hilfe sich Software Bills of Materials (SBOMs) erstellen und JavaScript-Schwachstellen aufspüren lassen.
Im Verlauf des Projekts wurde jedoch immer klarer, dass es mit Risikobewertung allein noch nicht getan ist. Einen nützlichen Ausgangspunkt bildet sie zwar durchaus. Doch um eine Erweiterung und ihre Auswirkungen wirklich zu verstehen, braucht es mehr als nur Zahlenwerte. Hinter den besten Analysen steht manchmal eben noch immer die bewährte Methode, sie von Menschen durchführen zu lassen.
Fazit
Womöglich habt ihr beim Lesen dieses Blogs direkt auf die Schaltfläche für Erweiterungen in eurem Browser geklickt, um nachzusehen, was sich im Laufe der Jahre alles bei euch angesammelt hat. Doch keine Panik! Die allermeisten Erweiterungen könnt ihr bedenkenlos nutzen, um euer Browser-Erlebnis zu verbessern. Böswillig ist tatsächlich nur eine sehr kleine Teilmenge.
Im nächsten Artikel dieser Blog-Reihe gehen wir näher auf unsere Pipeline und Analysemethodik ein, um dann im dritten Teil die Ergebnisse zu beleuchten und Empfehlungen zu geben. Im vierten und letzten Blog erwartet euch außerdem noch eine detailliertere Analyse, bei der wir unter anderem das PEAK-Framework für Threat Hunting zum Einsatz bringen. Es lohnt sich also, dranzubleiben!
Wie üblich ist das Thema Sicherheit bei Splunk Teamwork. Dank an Autoren und Mitwirkende: Shannon Davis, James Hodgkinson.
