Thought Leadership
Eine Chrome-Erweiterung mit über zehn Millionen Downloads kann laut Forschern unbemerkt schadhaften JavaScript-Code auf beliebigen Webseiten ausführen.
Die Sicherheitsforscher Oleg Zaytsev und Shachar Gritzman von der Sicherheitsfirma Island haben eine Analyse der populären Erweiterung Adblock für YouTube veröffentlicht. Das Add-on verzeichnet mehr als zehn Millionen Installationen und trägt eine offizielle Bezeichnung im Google Chrome Web Store. Die Untersuchung zeigt, dass die Erweiterung die technischen Voraussetzungen besitzt, um beliebigen JavaScript-Code auszuführen. Diese Funktion kann durch eine einfache serverseitige Konfigurationsänderung aktiviert werden, ohne dass dafür ein Update der Erweiterung oder eine erneute Überprüfung durch den Store erforderlich ist. Bisher gibt es keine Beweise dafür, dass tatsächlich Schadcode an Nutzer verteilt wurde. Die Forscher erklärten in ihrem Bericht:
„Sie enthält auch die architektonischen Voraussetzungen für die Ausführung von beliebigem JavaScript auf jeder Website, aktiviert durch eine einzige serverseitige Konfigurationsänderung, ohne ein Erweiterungs-Update, ohne eine Store-Überprüfung und ohne sichtbare Anzeichen dafür, dass sich etwas geändert hat.“
Sicherheitsforscher von Island
Einfache Umgehung der URL-Prüfung für YouTube
Obwohl die Erweiterung laut ihrem Namen für die Videoplattform YouTube gedacht ist, fordert sie weitreichende Berechtigungen für alle vom Nutzer besuchten Webseiten an. Die integrierte Prüfung, ob die aktuelle Adresse zu YouTube gehört, sucht lediglich nach der Zeichenfolge youtube.com an einer beliebigen Stelle in der URL. Dadurch lässt sich der Schutzmechanismus über manipulierte Webadressen, wie etwa bank.example.com/search?q=youtube.com, vollständig umgehen.
Falls die Funktion aktiviert wird, könnten Angreifer sensible Daten auslesen, Passwörter stehlen oder Aktionen im Namen des Nutzers in dessen Konten durchführen. Der Injektionspfad existiert bereits seit Februar 2025 über eine vom Autor definierte Regel namens trusted-create-element. Die Erweiterung ist seit 2014 im Store verfügbar und wechselte 2018 den Besitzer. In früheren Versionen war ein Werbeinjektions-Software-Development-Kit enthalten, das im Juni 2024 entfernt wurde. Mehrere verwandte Erweiterungen wie Adblock for Chrome, Adblock for You und AdBlock Suite wurden bereits wegen Schadsoftware aus dem Store entfernt.
Weitere gefälschte Marken-Erweiterungen entdeckt
Parallel dazu meldet das Sicherheitsunternehmen Palo Alto Networks Unit 42 die Entdeckung von 18 weiteren Browser-Erweiterungen. Diese imitieren bekannte Verbrauchermarken, um Einnahmen durch Affiliate-Marketing zu generieren. Nach der Installation öffnen diese Add-ons selbstständig eine neue Domain im Browser, die Inkompatibilitätsprobleme vorschiebt und Nutzer dazu auffordert, einen speziellen Gaming-Browser zu installieren.
(red)
