Schadsoftware Die Tricks der Chrome-Kriminellen

Über den Chrome Webstore gelangen Nutzer schnell an bösartige Software.

(Foto: imago/photothek)
  • Immer wieder gelangen bösartige Erweiterungen in den Webstore des Chrome-Browsers von Google.
  • Google prüft die eingehenden Erweiterungen automatisch und nur in seltenen Fällen manuell.
  • Nutzer müssen selbst aktiv werden und auf den Entwickler und Berechtigungen achten, um bösartige Software zu enttarnen.
Von Marvin Strathmann

Erweiterungen für Googles Chrome-Browser sollen das Surfen einfacher und angenehmer machen: Sie dunkeln den Hintergrund ab, wenn ein Video auf Youtube abgespielt wird, erstellen Screenshots von Webseiten oder benachrichtigen Nutzer, wenn eine neue E-Mail im Postfach liegt. Im Chrome Webstore warten Zehntausende Erweiterungen darauf, installiert zu werden.

Doch wer solche Programme installieren will, muss aufpassen: Immer wieder gelangen bösartige Anwendungen in Googles App-Store und infizieren Rechner der Nutzer. Plötzlich schürfen sie Kryptowährungen für die Entwickler oder greifen persönliche Daten ab. Im Mai entdeckte beispielsweise die Sicherheitsfirma Radware mehrere bösartige Erweiterungen, die insgesamt mehr als 100 000 Nutzer infiziert hatten. So wird der Chrome-Webstore zu einer nützlichen Plattform für Betrüger, die ihre Schadsoftware schnell an eine große Zahl von Nutzern verteilen können.

Wie die Kriminellen vorgehen, zeigt etwa die Erweiterung Nigelfy, die Bilder im Netz mit der Zeichentrickfigur Nigel Thornberry ersetzte. Was wie ein netter Scherz klingt, wird schnell ernst. Nach der Installation werden Nutzer zu einer falschen Youtube-Seite weitergeleitet. Anschließend sollen sie ein weiteres Addon installieren, um das vermeintliche Video anschauen zu können. Klickt der Nutzer auf "Erweiterung hinzufügen", wird sein Rechner Teil eines Botnetzes, schreibt Radware. Anschließend versucht die Malware, den Facebook-Account des Opfers zu übernehmen, um den Link zur bösartigen Erweiterung über das soziale Netzwerk weiter zu verbreiten. Google hat Nigelfy mittlerweile entfernt.

Chromes Webstore wird zu einer Plattform für Betrüger

Erst im April entfernte Google alle Erweiterungen aus dem Store, die Kryptowährungen wie Bitcoin oder Monero generierten. Damit wollte das Unternehmen das sogenannte Cryptojacking bekämpfen: Betrüger nutzen heimlich die Leistung fremder Rechner, um Kryptowährungen für sich selbst schürfen zu lassen. Das Opfer bekommt davon in der Regel nichts mit und wundert sich, warum der Computer so langsam reagiert und heiß wird. Der nötige Programmcode lässt sich leicht in Browser-Erweiterungen implementieren und boomt seit knapp einem Jahr.

Mit der Löschaktion reagierte Google vermutlich auch auf einen Fund der Sicherheitsfirma Trend Micro: Das Unternehmen entdeckte im Februar 89 bösartige Erweiterungen, die heimlich Cryptojacking betrieben und immer wieder unerwünschte Werbung einblendeten. Insgesamt waren mehr als 420 000 Nutzer betroffen.

Digitale Privatsphäre Meine Daten gehören mir
Internet-Browser Cliqz

Meine Daten gehören mir

Der Browser Cliqz will Google Chrome Paroli bieten. Er finanziert sich zwar über Werbung, doch die Daten bleiben auf den Rechnern der Nutzer.   Von Helmut Martin-Jung

Google Deutschland verweist auf seine Schutzmechanismen. "Jede Version jeder Erweiterung wird programmatisch und in einigen Fällen manuell auf Malware und Missbrauch überprüft", sagt ein Unternehmenssprecher. "Wir arbeiten kontinuierlich daran, die Genauigkeit unseres gesamten Erkennungssystems sowie die Sicherheit der Erweiterungsplattform im Allgemeinen zu optimieren. Um bösartige Erweiterungen zu erkennen, verwenden wir daher auch maschinelles Lernen."

Installation nur noch über den Google Webstore

Vor knapp zwei Wochen kündigte Google eine weitere Änderung an: sogenannte Inline-Installationen werden in Zukunft nicht mehr möglich sein. Damit können Erweiterungen direkt über die Seite von Dritten heruntergeladen und aktiviert werden, ohne dass der Nutzer den Chrome Webstore besuchen muss - ein zusätzlicher Weg, um sie zu täuschen. Neue Anbieter von Erweiterungen dürfen diese Methode nicht mehr einsetzen. Von September an wird sie für alle Entwickler deaktiviert.

Google verweist darauf, dass die Lage schon einmal schlimmer gewesen sei. ​"Trotz eines signifikanten Anstiegs der Gesamtzahl der Benutzer von Erweiterungen haben sich bösartige Erweiterungsinstallationen in den vergangenen zweieinhalb Jahren um etwa 70 Prozent verringert", sagt ein Unternehmenssprecher. "Infolgedessen ist der Anteil der Benutzer, die von schädlichen Erweiterungen betroffen sind, deutlich zurückgegangen. Gegenwärtig blockieren unsere Missbrauchssysteme mehr als 1000 bösartige Erweiterungen pro Monat."

Trotz der Kontroll-Mechanismen kann Google offensichtlich nicht verhindern, dass bösartige Erweiterungen überhaupt in den Webstore gelangen. Stattdessen schiebt er die Verantwortung an die Nutzer weiter: "Sie sollten sich die Erweiterungen genau anschauen, die sie herunterladen wollen", sagt Michal Salat, der bei der Sicherheitsfirma Avast für die Analyse von möglichen Bedrohungen verantwortlich ist. "Wenn die Bewertungen negativ sind und die Erweiterung von einem unbekannten Entwickler stammt, dann sollte ein Nutzer die Erweiterung eher nicht herunterladen", sagt Salat.

Auf Berechtigungen achten

Außerdem ist es wichtig, auf die Berichtigungen zu achten, die eine Erweiterung einfordert. Wie weitreichend die sind, zeigt der Webstore nämlich im Vorfeld nicht an. Sie erscheinen erst, wenn der Nutzer eine Erweiterung wirklich hinzufügen möchte. Wichtig ist, dass die Berechtigungen zu den angegebenen Funktionen der Anwendungen passen. Wenn eine Erweiterung für To-do-Listen auf die Dateien ihres Computers zugreifen oder Daten besuchter Webseiten auslesen möchte, sollten Nutzer skeptisch werden. Google selbst listet auf einer Hilfeseite mehrere Berechtigungen auf, die man genau prüfen sollte.

Aber selbst wenn ein Nutzer sich die Erweiterung im Webstore genau anschaut, den Entwickler überprüft und alle Berechtigungen analysiert, kann das Addon noch bösartige Software nachladen. Im vergangenen Jahr konnten Betrüger die weit verbreitete Erweiterung Copyfish übernehmen, weil die Entwickler auf eine gefälschte Mail hereingefallen waren. Die Betrüger nutzten das Addon, um unerwünschte Werbeanzeigen anzuzeigen. Mittlerweile ist Copyfish wieder unter Kontrolle seiner Entwickler.

Erweiterungen können aufgekauft werden

Es gibt noch einen weiteren Grund, aus dem eigentlich gutartige Erweiterungen bösartig werden: Geld. Auf Reddit berichten die Entwickler des beliebten Chrome-Addons Honey, wie Malware- und Werbefirmen ihnen Beträge im sechsstelligen Bereich angeboten hätten, um die Erweiterung übernehmen zu können. Sie hätten alle Angebote abgelehnt. Doch auch andere Entwickler erhalten regelmäßig ähnliche Einladungen zum Ausverkauf, und nicht alle widerstehen der Versuchung.

Da sich Erweiterungen in der Regel automatisch aktualisieren, können Nutzer kaum nachvollziehen, wann eine Erweiterung auf die dunkle Seite wechselt. Hier hilft das kostenlose Addon Extensions Update Notifier weiter: Es benachrichtigt Nutzer, wenn eine Erweiterung aktualisiert wurde. Zudem ist es hilfreich, die Liste der installierten Erweiterungen kurz zu halten und die zu deaktivieren oder zu deinstallieren, die nicht mehr benötigt werden.

Datenschutz So schützen Sie sich vor schnüffelnden Browser-Erweiterungen

Web of Trust

So schützen Sie sich vor schnüffelnden Browser-Erweiterungen

Viele Add-ons für Firefox und Chrome spionieren Nutzer aus und verkaufen deren Daten. Perfekten Schutz gibt es nicht - aber einige wertvolle Tipps.   Von Marvin Strathmann