Google entfernt bösartige Chrome-Erweiterungen mit über 1,4 Millionen Downloads

Google hat 5 bösartige Browser-Erweiterungen aus seinem Chrome Web Store entfernt, die insgesamt mehr als 1,4 Millionen Mal heruntergeladen wurden.

Bedrohungsanalysten von McAfee entdeckten, dass diese Browser-Erweiterungen, die sich als Netflix-Viewer und andere ausgaben, dazu entworfen wurden, die Browsing-Aktivitäten der Nutzer heimlich zu überwachen.

Die betreffenden Chrome-Browser-Add-ons sind wie folgt:

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 Downloads

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 Downloads

• FlipShope – Preisverfolgungs-Erweiterung (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 Downloads

• Vollseiten-Screenshot-Erfassung – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 Downloads

• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 Downloads

Diese Erweiterungen boten verschiedene Funktionen an, wie das gemeinsame Ansehen von Netflix-Shows, Website-Gutscheine und das Erstellen von Screenshots einer Website. Letzteres entlehnte mehrere Phrasen von einer anderen beliebten Erweiterung namens GoFullPage.

Neben der Bereitstellung der beabsichtigten Funktionalität überwachten die Erweiterungen auch die Browsing-Aktivität des Nutzers. Laut McAfee wurde jede Website, die ein Nutzer besuchte, an Server gesendet, die dem Ersteller der Erweiterung gehörten, damit dieser Code in die besuchten eCommerce-Websites einfügen konnte. Diese Aktion modifizierte dann die Cookies auf der Seite, sodass die Autoren der Erweiterung eine Provision für gekaufte Artikel erhielten.

„Die Nutzer der Erweiterungen sind sich dieser Funktionalität und des Datenschutzrisikos nicht bewusst, dass jede besuchte Seite an die Server der Erweiterungsautoren gesendet wird“, schrieben die McAfee-Forscher in ihrem Blogbeitrag.

Wie funktionierten die Erweiterungen?

Alle 5 Erweiterungen zeigen ein ähnliches Verhalten. Das Web-App-Manifest („manifest.json“-Datei) setzt die Hintergrundseite auf bg.html, die B0.js (multifunktionales Skript) lädt, das die Browsing-Daten an eine Domain sendet, die die Angreifer kontrollieren („langhort[.]com“).

Die Daten werden über POST-Anfragen jedes Mal geliefert, wenn der Nutzer eine neue URL besucht. Die Informationen umfassen die URL in base64-Form, die Benutzer-ID, den Standort des Geräts (Land, Stadt, Postleitzahl) und eine kodierte Empfehlungs-URL.

Nach dem Empfang der URL vergleicht langhort.com alle Einträge auf einer Liste von Websites, für die es eine Affiliate-ID hat, und wenn dies der Fall ist, antwortet der Server auf B0.js mit einer der beiden möglichen Funktionen.

Die erste Funktion ist „Result[‘c’] – passf_url“, die überprüft, ob die Abfrage mit einer URL geantwortet hat. Wenn ja, würde sie die vom Server erhaltene URL als Iframe auf der besuchten Website einfügen.

Die zweite Funktion, „Result[‘e’] setCookie“, weist B0.js an, auch ein Cookie zu modifizieren oder es durch das bereitgestellte zu ersetzen, um bestimmte Aktionen auszuführen, wenn der Erweiterung die entsprechenden Berechtigungen erteilt wurden.

McAfee hat auch ein Video veröffentlicht, das zeigt, wie die URL- und Cookie-Modifikationen in Echtzeit erfolgen:

Um Analysen zu umgehen und zu verhindern, dass bösartige Aktivitäten in automatisierten Analyseumgebungen identifiziert werden, wiesen einige der Erweiterungen eine Verzögerung von 15 Tagen ab dem Zeitpunkt ihrer Installation auf, um zu vermeiden, dass frühzeitig Alarm geschlagen wird, bevor sie mit dem Versenden der Browseraktivitäten beginnen konnten.

Zum Zeitpunkt des Schreibens wurden alle 5 bösartigen Chrome-Erweiterungen aus dem Google Play Store entfernt. Dies löscht sie jedoch nicht aus den Webbrowsern. Daher wird den Nutzern empfohlen, sie manuell von ihren Geräten zu deinstallieren.