Thought Leadership
Eine Untersuchung entlarvt 152 Hintergrundbild-Erweiterungen für Google Chrome, die heimlich Nutzerdaten sammeln und gefälschten Traffic erzeugen.
Sicherheitsforscher des IT-Unternehmens Socket haben ein Netzwerk aus 152 Google-Chrome-Erweiterungen identifiziert, die als Live-Hintergrundbilder getarnt sind. Die Add-ons wurden über 38 separate Entwicklerkonten im offiziellen Chrome Web Store vertrieben und verzeichnen insgesamt rund 105.000 Installationen. Die Infrastruktur der Kampagne ist mit drei zentralen Marken-Backends verknüpft: tabplugins.com, yowgames.com und chromewallpaper.com. Zu den betroffenen Erweiterungen gehören unter anderem Motive wie Hello Kitty Wallpapers HD New Tab, Sonic Frontiers Starfall Live Wallpaper oder BMW Wallpapers.
Obwohl die Entwickler auf den Produktseiten des Web Stores deklarierten, keine Nutzerdaten zu erfassen, widersprechen die verlinkten Datenschutzrichtlinien dieser Angabe. Der Socket-Sicherheitsforscher Kush Pandya äußerte sich zu den Funden:
„Jeder Eintrag erklärt im Chrome Web Store, dass er keine Nutzerdaten sammeln oder verwenden wird, während die verlinkte Datenschutzrichtlinie das Gegenteil zugibt: dass die Erweiterungen IP-Adressen, ISP, Klickanzahlen und Referrer protokollieren und diese Daten mit Google AdSense, DoubleClick und Drittanbieter-Werbepartnern teilen.“
Kush Pandya , Socket-Sicherheitsforscher
Technische Methoden zur Täuschung von Google Chrome
Die Analyse der JavaScript-Dateien, speziell der Datei bg.js, legte die technische Funktionsweise offen. Die Erweiterungen sind so programmiert, dass sie bei der Installation und Deinstallation automatisierte Webseiten-Aufrufe im Hintergrund generieren. Bei der Installation fügt das System spezifische Tracking-Parameter ein, die einen echten, organischen Suchmaschinenzugriff vortäuschen. Bei der Deinstallation wird eine Weiterleitung über google.com ausgelöst, welche die exakte Struktur eines menschlichen Klicks auf ein Google-Suchergebnis imitiert.
Auf diese Weise täuscht die Software künstlich organischen Datenverkehr vor, um Werbeeinnahmen zu generieren oder die Herkunft von Webseiten-Traffic zu fälschen. Das System erzeugt den Besuch eigenständig, ohne dass ein Nutzer eine reale Suche durchgeführt hat. Zudem enthalten die Dateien Funktionen, die bei jedem Start des Hintergrundprozesses sämtliche lokalen IndexedDB-Datenbanken im Browser auflisten und löschen können. Die Ermittler stufen die Kampagne als kommerzielle Adware-Operation und Affiliate-Betrug zur Traffic-Fälschung ein. Indikatoren deuten darauf hin, dass die Kampagne ihren Ursprung in der Türkei hat.
(red)
