Browser erweitert den unsichtbaren Feind, der 2FA stiehlt und öffnet die Tür zu Ihren Konten

In den letzten Wochen hat die Sicherheitsgemeinschaft die Alarme auf einem stillen Feind wieder beleuchtet, dass viele Benutzer unterschätzen: Browser-Erweiterungen. Was auf den ersten Blick scheint kleine Gewinne, um Zeit zu sparen oder Funktionen hinzufügen - von Code-Generatoren zu intelligenten Assistenten - wird von bösartigen Schauspielern verwendet, um wertvolle Informationen zu stehlen, ohne von denen bemerkt zu werden, die sie installieren.

Ein neuer und besonders besorgniserregender Fall war eine Erweiterung, die als Werkzeug zur bequemen Nutzung von Meta Business Suite und Facebook Business Manager gefördert wurde. Forschung Sockel Sie analysierten diese Erweiterung und fanden heraus, dass neben scheinbar legitimen Funktionen wie 2FA-Code-Generierung oder Löschen von Verifikationsfenstern ihr Code gesammelt TOTP-Geheimnisse (Seeds, die temporäre Codes generieren) und Single-Use-Codes, sowie die "People"-Sektionsexporte und analytische Daten. All dies wurde an eine vom Angreifer kontrollierte Infrastruktur gesendet, mit Optionen, um Informationen an Telegram-Kanäle zu senden. Eine Erweiterung mit nur Dutzenden von Einrichtungen kann den Schlüssel zu hochwertigen Konten und Kontakten bieten, weil es erlaubt, interessante Ziele zu identifizieren und sich auf spätere Angriffe vorzubereiten.

Die Technik ist nicht neu: Angreifer nutzen, dass Erweiterungen, sobald der Nutzer autorisiert ist, mit authentifizierten Seiten interagieren und Inhalte lesen können, die im Browser-Kontext verbleiben. Daher, auch wenn die Erweiterung nicht explizit stiehlt Passwörter, wenn der Gegner bereits Anmeldeinformationen auf andere Weise hat - zum Beispiel von Infostealern oder Lecks - die Fähigkeit, 2FA-Codes zu erfassen, erleichtert unberechtigten Zugriff. Um den technischen Umfang und die Beweise zu verstehen, bietet Sockets Forschung Details, die sorgfältig überprüft werden sollten, wenn Sie Werbung oder Verwaltung Konten in Meta verwalten.

Parallel dazu kam ein weiterer hervorragender Bericht aus Koi Sicherheit, die eine massive Kampagne gegen VKontakte Benutzer dokumentiert. Dort, Erweiterungen verkleidet als Themen oder Musik-Downloads injiziert JavaScript auf jeder VK-Seite opuscated, automatisch abonnierte Benutzer an Gruppen gesteuert durch den Angreifer, manipulierte Konfigurationen und sogar ausgenutzt CSRF Schutz zu überwinden. Die Operation nutzte eine intelligente Technik, um URLs aus der folgenden Phase zu verbergen: HTML-Metadaten aus einem öffentlichen Profil diente als "dead drop" zu lösen, wo die Nutzlast gehostet wurde. Der Autor des Angriffs hielt ein öffentliches Repository, in dem mehrere Verpflichtungen seit Monaten beobachtet wurden, was darauf hindeutete, dass es keine Amateurexplosion war, sondern ein Projekt mit anhaltender Wartung und Verbesserung.

Wenn wir einen weiteren Forschungsblock hinzufügen, wird das Bild größer. Die Ebene X firm enthüllte ein Netzwerk von Erweiterungen, die als IA-Assistenten, installiert von Hunderttausenden von Benutzern, und tatsächlich geladen ein iphrame zu einer Remote-Domain, die die Funktionalität der Erweiterung in Echtzeit ändern könnte. Laut EbeneX, diese iframes können die Erweiterung bestellen, um lesbare Texte aus der Seite mit Bookstores wie Readability zu extrahieren, Spracherkennung zu aktivieren und Transkripte an den angreifenden Server zu senden, oder sogar den sichtbaren Gmail-Inhalt zu lesen, wenn der Benutzer mail.google.com eingegeben hat. Die Gefahr ist, dass schädliches Verhalten kommen kann, ohne durch den Prozess der Aktualisierung des offiziellen Repository, weil der entfernte iphrame steuert, was angezeigt wird und was gesammelt wird.

Die Größe des Problems wurde auch von anderen Gruppen quantifiziert. Ein öffentliches Repository, das von Forschern gepflegt wurde, fand Hunderte von Erweiterungen, die die Browser-Geschichte an Vermittler und Datenbroker senden, mit zehn Millionen von Einrichtungen zusammen. Die Forschung von Q Continuum dokumentiert beispielsweise eine breite Sammlung von Spion-Erweiterungen mit einer globalen Reichweite von Millionen von Nutzern ( siehe Details) Es ist bestätigt, dass dies nicht isolierte Vorfälle ist, sondern ein Muster, in dem Erweiterungen für Spionage und Betrug monetisiert oder wiederverwendet werden.

Vor diesem Hintergrund erfordert die Verteidigung praktische Entscheidungen und vor allem nachhaltige Gewohnheiten. Zunächst ist es angebracht, das Prinzip der minimalen Exposition anzuwenden: nur Erweiterungen zu installieren, die Sie wirklich brauchen und von Entwicklern mit überprüfbarem Ruf kommen. Um die Berechtigungen zu überprüfen, die eine Erweiterung anfordern, bevor die Installation akzeptiert wird, ist unerlässlich, da viele Risiken sich auszeichnen, wenn der Benutzer Zugriff auf empfindliche Domains oder auf die gesamte Browser-Geschichte autorisiert. Darüber hinaus regelmäßig Audit installiert Erweiterungen und entfernen Sie diejenigen, die nicht verwenden reduziert die Angriffsfläche.

Für diejenigen, die Unternehmensumgebungen verwalten oder kritische Konten verwalten, gibt es kraftvollere Maßnahmen: die Verwendung von separaten Browser-Profilen für persönliche und professionelle Aufgaben, die Preispolitiken zu steuern, welche Erweiterungen installiert werden können und, soweit möglich, die Auswahl von Authentifizierungsmechanismen, die nicht ausschließlich von abnehmbaren TOTP-Codes abhängen. WebAuthn-basierte Sicherheitsschlüssel bieten eine große technische Barriere gegen die Diebstahl von Einweg-Faktoren; um diese Option zu vertiefen, ist es nützlich, die Dokumentation über die Web-Authentifizierung zu überprüfen, wie die, die es hält. MDN Web Authentication API. Google bietet auch Anleitungen, wie Berechtigungen funktionieren und wie Erweiterungen aus dem Chrome Web Store verwalten, die als Referenz für weniger technische Benutzer dienen können: Erläuterung der Genehmigungen und wie eine Erweiterung zu entfernen.

Es ist nicht angebracht, in die falsche Sicherheit des Denkens zu fallen, dass nur wenige Nutzer ein geringes Risiko eingehen. Wie die Forschungsbeamten darauf hingewiesen haben, können Erweiterungen mit einer begrenzten Anzahl von Einrichtungen die Anerkennung von Werkzeugen und die Eintrittstür zu Unternehmenszielen oder hochrangigen Konten sein. Digitale Hygiene ist eine wesentliche erste Verteidigungslinie: überprüfen, wer die Erweiterung veröffentlicht, lesen Sie Bewertungen in kritischen Geist, überprüfen Sie Updates und korroborate Sicherheits-Community-Ergebnisse, bevor vertrauliche Daten zu einem Browser-Ergänzung.

Wenn Sie in die oben genannten Fälle gehen möchten, empfehle ich, die von den Organisationen selbst veröffentlichten Analysen zu lesen, die sie enthüllt: der technische Bericht über die Erweiterung, die TOTP-Samen und Meta-Exporte durch die Sockel, der Bericht Koi Sicherheit über VK Stile und das Studium EbeneX über die falschen Erweiterungen von IA. Für einen praktischen Leitfaden für allgemeine Risiken und Empfehlungen ist diese Trainingsressource nützlich: Sicherheitstipps auf Browsern.

Am Ende des Tages sind Erweiterungen leistungsstarke Tools, die den Browser erweitern; sie können auch Sicherheitslöcher werden, wenn sie nicht sorgfältig behandelt werden. Die Erhaltung der technischen Neugier, ohne die Vorsicht zu opfern, ist der beste Weg, um eine einfache Ergänzung zu einer größeren Lücke in Ihren Konten oder in den Daten Ihrer Organisation zu verhindern.