Security-Risiko Browser

Vorsicht vor bösartigen Add-Ons

Matthias Reinwarth ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Egal ob Firefox oder Chrome - immer mehr User setzen eine Alternative ein, da sie Microsofts Internet Explorer nicht über den Weg trauen. Doch auch diese Browser spionieren unter Umständen den Nutzer aus.
Internet-Browser und ihre Erweiterungen sind eine Einfallstor für Cyberkriminelle.
Internet-Browser und ihre Erweiterungen sind eine Einfallstor für Cyberkriminelle.
Foto: ijomathaidesigners/Shutterstock.com

Der Internet-Browser ist heute eines der zentralen Programme, das Anwender einsetzen. Zumindest auf privat genutzten Geräten ist der eingesetzte Browser und dessen Konfiguration in vielen Fällen auch Ausdruck einer individuell geprägten Entscheidung. Firefox und Chrome als auf den großen Betriebssystemplattformen nachinstallierbare Browser spielen hierbei eine zentrale Rolle.

Die Auswahl des bevorzugten Browsers beruht auf einer Vielzahl von Faktoren, die von der Performance über die Standardkonformität bis hin zur Erweiterbarkeit reichen. Auch die persönliche Sicherheit ist für viele Nutzer von zentraler Bedeutung, so dass die Häufigkeit der Updates des Browsers und damit die Reaktionsgeschwindigkeit bei der Behebung identifizierter Schwachstellen zu einer Messgröße bei der Entscheidung für oder gegen ein System wird.

Gerade der Internet-Browser mit seiner zentralen Rolle als Bindeglied zwischen dem Anwender und dem Internet (und dem Intranet) ist ein strategisches Ziel für Angriffe auf unterschiedlichen Ebenen. Ziel solcher Attacken kann beispielsweise das zugrunde liegende Betriebssystem sein, insbesondere wenn der Browser eng mit diesem verbunden ist, wie es IE oder Safari sind.

Zentrale Ziele bei Angriffen auf den Browser ist die Erlangung von personenbezogenen Informationen, von Logins und Passwörtern über Kreditkarteninformationen und weitere Zahlungsdaten. Darüber hinaus sind Informationen über besuchte Webseiten, die jeweilige Verweildauer und das allgemeine Benutzerverhalten von Interesse. Und nicht zuletzt können die tatsächlich angezeigten Inhalte von großem Interesse sein, insbesondere wenn hierbei auf Dokumente zugegriffen wird, die auf unterschiedlichste Art schützenswert sein können. Diese reicht von privaten Daten, wie Fotos oder E-Mails bis hin zu Dokumenten, die vertraulich sind, etwa bei Nutzung des Rechners im Umfeld des jeweiligen Arbeitsverhältnisses. Die Motivation für diese Ausspähungen reichen von der widerrechtlichen Nutzung der Daten für Werbezwecke bis hin zu Erpressung und Spionage.

Einfallstor Browser-Erweiterung

Eine zentrale Methode bei der Individualisierung eines Browsers und seiner Installation sind Browser-Erweiterungen, die Add-Ons. Eine schier nicht zu überblickende Vielzahl von möglichen Erweiterungen ermöglichen es dem Anwender, zusätzliche Funktionalitäten in den jeweiligen Browser zu integrieren. Wie beliebt diese Add-Ons sind, zeigt der Unmut, der sich regelmäßig um den aktuellen Browser Edge von Microsoft in Windows 10 erhebt, dessen Architektur derzeit noch keine Browser-Erweiterungen unterstützt.

Auch wenn diese Erweiterungen üblicherweise einem eigenen Sicherheitsmodell unterliegen, bei dem der Anwender, etwa zum Installationszeitpunkt, diesen Erweiterungen Rechte zugesteht, gehen diese angeforderten Berechtigungen gerne weit über den eigentlichen notwendigen Umfang hinaus. Diese werden aber durch die Anwender gerne, ganz wie die ungeliebten, allgemeinen Geschäftsbedingungen, ohne angemessene Prüfung schnell akzeptiert.

Schädliche Add-Ons sind für jeden Browserim Umlauf, weshalb mit Passwörtern etc. besonders sorgfältig umgegangen werde sollte.
Schädliche Add-Ons sind für jeden Browserim Umlauf, weshalb mit Passwörtern etc. besonders sorgfältig umgegangen werde sollte.
Foto: JMiks/Shutterstock.com

Wichtig ist, zu beachten, dass Erweiterungen individuell und damit parallel zu anderen Erweiterungen agieren, also insbesondere nicht durch möglicherweise installierte Sicherheits-Addons beeinflusst werden: Ein böswilliges Add-On etwa, das Werbung in betrachtete Webseiten injiziert, kann dies an parallel installierten Werbeblockern vorbei tun. Ein böswilliges Add-on, das Benutzerverhalten trackt, wird dies ungehindert, an potentiell installierten Sicherheits- und Privacy-Addons vorbei, durchführen können.

Nachweis in Chrome, Vorsicht überall geboten

Eine durch Detectify Labs durchgeführte und in deren Blog umfassend veröffentlichte Analyse zeigt am konkreten Beispiel des Browsers Google Chrome, dass eine Vielzahl von für diesen beliebten Browser verfügbaren Add-Ons neben dem eigentlich verfolgten Zweck eine weitere, eigene Agenda verfolgen. Diese kann nach Darstellung der Analyse etwa das Ausspähen des Browser-Verlaufs, den Diebstahl von Cookies oder von Autorisierungstokens bis hin zum Kopieren kompletter betrachteter Dokumente umfassen.

Hier ist der Anwender selbst aufgerufen, bei der Auswahl der entsprechenden Erweiterungen besondere Sorgfalt walten zu lassen. Vergleichbar der notwendigen, kritischen Auswahl von Apps für das jeweilige mobile Endgerät, ist auch die Auswahl und die Installation von Erweiterungen für den jeweiligen Browser eine hochsensible Tätigkeit, bei der schon ein einziger Fehler die Sicherheit, die Vertraulichkeit und damit die Vertrauenswürdigkeit eines kompletten Browsers gefährden kann.

Jedem Anwender sei insbesondere auch (zum Beispiel nach Lesen dieses Artikels) die kritische Prüfung der jeweils installierten und aktivierten Erweiterungen empfohlen. Dies gilt konkret für Nutzer des in der Untersuchung betrachteten Chrome-Browsers, sollte aber auf alle Browser, die entsprechende Erweiterungen anbieten ausgedehnt werden. Schnell ist, mal eben im Vorbeisurfen, eine neue, vermeintliche interessante Erweiterung installiert, die dann schnell in Vergessenheit gerät. Das englische Sprichwort "When in doubt leave out" sollte hier angewandt werden: Lieber ein Add-On weniger installiert lassen, als es bei unklarem Nutzen oder zweifelhafter Vertrauenswürdigkeit weiter werkeln zu lassen. Dies gilt umso mehr bei umfangreichen Berechtigungen, die wenig gerechtfertigt erscheinen. Grundlegend gilt: Ein sparsamer Einsatz von Browser-Add-Ons verringert klar die Angriffsfläche.