Fajri Mulia Hidayat – shutterstock.com
Der Security-Anbieter SquareX hat eine bisher nicht dokumentierte API innerhalb des KI-Browsers Comet offengelegt. Damit können beliebige Befehle über eingebettete Erweiterungen ausgeführt und Anwendungen gestartet werden – Funktionen, die von Mainstream-Browsern absichtlich blockiert werden.
Die API lässt sich direkt von perplexity.ai auslösen und schafft so einen verdeckten Execution Channel. Angreifer könnten diesen durch bekannte Techniken wie kompromittierte Erweiterungen, Cross-Site Scripting (XSS) oder Phishing ausnutzen. „Die Funktion ermöglicht eine Art von Gerätezugriff, der normalerweise nativen Apps und nicht Browsern vorbehalten ist“, betont das Sicherheitsunternehmen.
Gerätezugriff über Analytics-Erweiterung
Das SquareX-Team hat die MCP-API bei der Überprüfung der eingebetteten Analytics-Erweiterung von Comet entdeckt, nachdem der nicht standardmäßige Namespace „chrome.perplexity“ auf eine Ergänzung zu Chromium hindeuteten. Wie Audrey Adeline von SquareX erklärt, wurde die API direkt im Erweiterungscode identifiziert. „Wir konnten die MCP-API im Quellcode der Comet Analytics-Erweiterung abrufen.“
Sie fügte hinzu, dass die technische Hürde für diesen Exploit extrem niedrig sei: „Extension Stomping, Cross-Site-Scripting und einfache MitM-Angriffe auf das Netzwerk sind mehr als ausreichend.“
In einer zusammen mit der Offenlegung veröffentlichten Demo injizierte das Forscherteam eine bösartige Erweiterung, die sich als Comets Analytics Extension ausgab, ein Skript in die Seite perplexity.ai und nutzte schließlich die Agentic Extension, um die MCP-API aufzurufen. Anschließend wurde die Schadsoftware WannaCry auf dem Gerät ausgeführt.
SquareX weist zudem darauf hin, dass Comet sowohl die Analytics- als auch die Agentic-Erweiterung vom Erweiterungs-Dashboard des Browsers versteckt, sodass Benutzer sie selbst bei Verdacht auf eine Kompromittierung nicht deaktivieren können. Aufgrund fehlender Dokumentation warnte Adeline, dass andere Embedded- oder Third-Party-Erweiterungen ebenfalls auf die API zugreifen könnten.
Allgemeine Warnung für KI-Browser
Die Offenlegung dürfte die Zurückhaltung von Unternehmen, KI-Browser einzusetzen, noch verstärken. John Grady, Chefanalyst bei Omdia, merkte an, dass Unternehmen diese weiterhin als nicht genehmigte Anwendungen behandeln werden, bis sie die Vor- und Nachteile vollständig abschätzen können.
„Sicherheitsteams sollten sicherstellen, dass die Unternehmensrichtlinien klar sind und sie über die Tools verfügen, um diese Richtlinien durchzusetzen”, rät der Experte.
SquareX gibt folgende Empfehlung: KI-Browser sollten alle APIs auf Systemebene offenlegen, unabhängigen Sicherheitsaudits unterzogen werden und den Benutzern die Möglichkeit geben, eingebettete Erweiterungen zu deaktivieren. Ohne diese Maßnahmen, so der Security-Spezialist, könnten Anbieter Browser etablieren, die stillschweigend die Autorität auf Endgeräteebene innehaben.
„Leider ist die MCP-API standardmäßig für die eingebetteten Erweiterungen von Comet zugänglich“, so Adeline. Es gebe keine Möglichkeit, diese Erweiterungen zu deinstallieren. „Abgesehen davon, dass man die Benutzer daran hindert, Comet zu verwenden, kann die wirkliche Lösung nur von Perplexity kommen“, betont die Expertin. (jm)
Lesetipp: Atlas-Browser-Exploit ermöglicht Angriff auf ChatGPT-Speicher
No Responses