{"id":7140,"date":"2026-02-18T15:16:32","date_gmt":"2026-02-18T15:16:32","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=7140"},"modified":"2026-02-18T15:16:32","modified_gmt":"2026-02-18T15:16:32","slug":"millionen-chrome-erweiterungen-geben-browserverlauf-preis","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=7140","title":{"rendered":"Millionen Chrome-Erweiterungen geben Browserverlauf preis"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
width=”2489″ height=”1400″ sizes=”auto, (max-width: 2489px) 100vw, 2489px”>Eine Sicherheitsl\u00fccke in beliebten Chrome-Erweiterungen f\u00fchrt dazu, dass der Browserverlauf der Anwender offengelegt ist.\n

2lttgamingroom \u2013 shutterstock.com<\/p>\n<\/div>\n

Ein Sicherheitsforscher mit dem Pseudonym \u201eQ Continuum\u201c hat 287 Chrome-Erweiterungen entdeckt, die den Browserverlauf exfiltrieren. \u201eDie Akteure hinter den Lecks sind vielf\u00e4ltig: Similarweb, Curly Doggo, Offidocs, chinesische Akteure, viele kleinere, unbekannte Datenbroker sowie ein mysteri\u00f6ses Unternehmen namens \u201aBig Star Labs\u2018, das offenbar ein Ableger von Similarweb ist\u201c, hei\u00dft es im Forschungsbericht<\/a>.<\/p>\n

F\u00fcr die Analyse entwickelte der Forscher eine automatisierte Pipeline, die Chrome-Instanzen startete, Erweiterungen installierte, eine vordefinierte Reihe von Websites besuchte und ausgehende Kommunikationen erfasste.<\/p>\n

Er warnte, dass eine solche Datenerfassung Unternehmensspionage<\/a> erm\u00f6glichen k\u00f6nnte, indem sie interne Unternehmens-URLs offenlegt, auf die Mitarbeiter zugreifen. In F\u00e4llen, in denen Erweiterungen auch Cookies erfassen, k\u00f6nnten sie das Sammeln von Anmeldedaten erleichtern, indem sie Angreifern Details zu aktiven Websitzungen liefern.<\/p>\n

VPNs, Produktivit\u00e4ts-Tools und Shopping-Add-ons<\/h2>\n

Die Untersuchung identifizierte zahlreiche weit verbreitete Erweiterungen mit riskantem Verhalten in Kategorien wie VPN-\/Proxy-Dienste, Coupon-Finder, PDF-Tools und Browser-Dienstprogramme. Viele davon haben Hunderttausende oder Millionen von Nutzern.<\/p>\n

Bei einigen dieser Erweiterungen handelt es sich um Pop-up-Blocker f\u00fcr Chrome. Darunter Stylish, BlockSite block Websites, Stay Focused und SimilarWeb. Website Traffic und SEO Checker, WOT: Website Security und Safety Checker, Smarty, Video Ad Blocker Plus f\u00fcr YouTube, Knowee AI und CrxMouse: Mouse Gestures.<\/p>\n

Dem Forscher zufolge forderten mehrere der Erweiterungen umfassende Host-Berechtigungen (webseiten\u00fcbergreifend) an. Dadurch konnten sie Navigationsereignisse und Seitenaktivit\u00e4ten dom\u00e4nen\u00fcbergreifend beobachten. \u201eWenn eine Erweiterung nur den Seitentitel liest oder CSS einf\u00fcgt, sollte ihr Netzwerk-Fu\u00dfabdruck unabh\u00e4ngig von der L\u00e4nge der von uns besuchten URL gleich bleiben\u201c, erkl\u00e4rt er die Logik hinter ihrer Kennzeichnung in seinem Beitrag.<\/p>\n

\u201eWenn der ausgehende Datenverkehr linear mit der URL-L\u00e4nge w\u00e4chst, ist die Wahrscheinlichkeit hoch, dass die Erweiterung die URL selbst (oder die gesamte HTTP-Anfrage) an einen Remote-Server sendet\u201c, erg\u00e4nzt der Experte.<\/p>\n

Verschl\u00fcsselte Exfiltration erschwerte die Erkennung<\/h2>\n

Zudem weist er darauf hin, dass mehrere dieser Erweiterungen versuchten, die Art der \u00fcbertragenen Daten zu verbergen. Demnach wurden ausgehende Nutzdaten h\u00e4ufig vor der \u00dcbertragung verschl\u00fcsselt oder codiert, was eine automatisierte \u00dcberpr\u00fcfung verhinderte.<\/p>\n

\u201eDie manuelle \u00dcberpr\u00fcfung des erfassten Datenverkehrs ergab eine Vielzahl von Verschleierungstechniken: Base64, ROT47, LZ-String-Komprimierung und vollst\u00e4ndige AES-256-Verschl\u00fcsselung, verpackt in RSA-OAEP\u201c, erl\u00e4utert der Forscher in einem weiteren Bericht<\/a>. \u201eDie Entschl\u00fcsselung dieser Nutzdaten ergab, dass rohe Google-Such-URLs, Seitenverweise, Benutzer-IDs und Zeitstempel an ein Netzwerk aus propriet\u00e4ren Domains und Endpunkten von Cloud-Anbietern gesendet wurden.<\/p>\n

Die Testumgebung des Forschers f\u00fchrte Chrome in einem Docker-Container aus, sodass jede Erweiterung isoliert und konsistent analysiert werden konnte.<\/p>\n

Der Security-Spezialist r\u00e4umte allerdings ein, dass wahrscheinlich nicht alle Erweiterungen, die den Browserverlauf preisgeben, b\u00f6swillige Absichten haben. Er stellte zudem klar, dass einige Fehlalarme manuell aus den Protokollen der von den automatisierten Scannern markierten Erweiterungen entfernt werden mussten. \u201eEinige der Erweiterungen sind m\u00f6glicherweise harmlos und m\u00fcssen den Browserverlauf f\u00fcr Funktionen wie beispielsweise \u201aAvast Online Security & Privacy\u2018 erfassen.\u201c<\/p>\n

Der Bericht zur Offenlegung enthielt eine Liste mit URLs aus dem Chrome Web Store und den Akteuren hinter diesen Erweiterungen als Referenz. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

width=”2489″ height=”1400″ sizes=”auto, (max-width: 2489px) 100vw, 2489px”>Eine Sicherheitsl\u00fccke in beliebten Chrome-Erweiterungen f\u00fchrt dazu, dass der Browserverlauf der Anwender offengelegt ist. 2lttgamingroom \u2013 shutterstock.com Ein Sicherheitsforscher mit dem Pseudonym \u201eQ Continuum\u201c hat 287 Chrome-Erweiterungen entdeckt, die den Browserverlauf exfiltrieren. \u201eDie Akteure hinter den Lecks sind vielf\u00e4ltig: Similarweb, Curly Doggo, Offidocs, chinesische Akteure, viele kleinere, unbekannte Datenbroker […]<\/p>\n","protected":false},"author":0,"featured_media":7141,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-7140","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7140"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7140"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7140\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/7141"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}