Rechte im Browser missbraucht

Chrome: Gefälschte Perplexity-Erweiterung spioniert Suchanfragen aus

Google Chrome
Bildquelle: PREMIO STOCK/Shutterstock.com

Eine gefälschte Chrome-Erweiterung für Perplexity AI hat Suchanfragen abgefangen und Nutzerdaten gesammelt. Google hat das Add-on inzwischen entfernt.

Sicherheitsforscher von Microsoft Threat Intelligence haben eine schadhafte Erweiterung im Chrome Web Store identifiziert, die sich als die KI-Suchmaschine Perplexity AI getarnt hat. Das betroffene Add-on mit dem Namen „Search for perplexity ai“ fing gezielt den Suchverkehr der Anwender ab und leitete diesen über eine eigene Server-Infrastruktur um, bevor die Anfragen an die echten Suchdienste weitergegeben wurden. Auf diese Weise konnten die Betreiber der Erweiterung umfassende Daten über das Surfverhalten der Betroffenen sammeln. Google hat die Erweiterung nach dem Hinweis von Microsoft aus dem Store entfernt.

Anzeige

Umleitung von Chrome nach Perplexity über gefälschte Infrastruktur

Die offizielle Browser-Erweiterung des Anbieters trägt den Namen Perplexity – AI Search und nutzt die korrekte Domain perplexity.ai. Die gefälschte Version imitierte das visuelle Erscheinungsbild des Originals, verwendete jedoch die abweichende Domain perplexity-ai.online. Nach der Installation modifizierte die Erweiterung die Browsereinstellungen im Hintergrund, um sich selbst als Standard-Suchanbieter festzulegen. Microsoft beschreibt den technischen Vorgang in einer Sicherheitsmitteilung:

„Die Erweiterung überschreibt die Browsersucheinstellungen über chrome_settings_overrides, um den Standard-Suchanbieter des Browsers zu ersetzen sowie alle Suchanfragen in der Omnibox eines Chromium-Browsers abzufangen und an eine zwischengeschaltete Infrastruktur umzuleiten, die nicht mit der offiziellen Domain des Herstellers verknüpft ist.“

Microsoft

Anzeige

Über diese Methode wurden sämtliche Eingaben in der Adressleiste des Browsers, einschließlich der Echtzeit-Suchvorschläge während des Tippens, erfasst. Auf den Servern der Angreifer wurden die vollständigen Suchbegriffe, die HTTP-Header, die IP-Adressen und die User-Agent-Daten protokolliert. Da die Nutzer nach der unsichtbaren Zwischenstation direkt zu den legitimen Suchergebnissen weitergeleitet wurden, blieb der Abfangprozess im alltäglichen Betrieb unbemerkt.

Missbrauch von weitreichenden Rechten im Browser

Obwohl die Experten bei ihren Analysen keine direkten Diebstähle von Zugangsdaten oder Passwörtern feststellen konnten, boten die von der Erweiterung angeforderten Berechtigungen das Potenzial für weitreichendere Angriffe. Das Add-on nutzte tiefgreifende Schnittstellen innerhalb des Chromium-Berechtigungssystems. Die Analysten führen dazu aus: „Die Erweiterung fordert weitreichende DNR-Berechtigungen an, die eine Datenverkehrsumleitung, das Umschreiben von URLs und eine selektive Filterung von Anfragen ermöglichen, was nicht mit dem erwarteten Verhalten eines KI-Assistenten übereinstimmt.“

Die gesammelten Informationen ermöglichen eine detaillierte Profilerstellung der Nutzer. Für Anwender, welche die Erweiterung mit der spezifischen Identifikationsnummer flkebkiofojicogddingbdmcmkpbplcd installiert hatten, wird die umgehende Deinstallation aus dem Browser empfohlen. Zudem wird geraten, wichtige Passwörtern vorsorglich zu ändern.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.