287 Chrome-Erweiterungen entdeckt, die Browsing-Daten von Nutzern sammeln

 (qcontinuum.substack.com)
4 Punkte von GN⁺ 2026-02-12 | 1 Kommentare | Auf WhatsApp teilen
  • Über eine automatisierte MITM-basierte Scan-Pipeline (Man-in-the-Middle) wurde erkannt, dass 287 Chrome-Erweiterungen den Browserverlauf von Nutzern an externe Ziele übertragen
  • Diese Erweiterungen wurden insgesamt rund 37,4 Millionen Mal installiert, was etwa 1 % aller Chrome-Nutzer weltweit entspricht
  • An den Datenabflüssen sind große Datenbroker wie Similarweb, Curly Doggo, Offidocs, Big Star Labs sowie zahlreiche kleinere Anbieter beteiligt
  • Die Analyse zeigt, dass einige Erweiterungen Verschleierung und Übertragung von URL-Daten mit Verfahren wie ROT47, AES‑256, LZ-string umsetzen
  • Über eine bloße Verletzung der Privatsphäre hinaus handelt es sich um eine ernsthafte Bedrohung, die zu Sicherheitsrisiken wie der Offenlegung interner Unternehmensnetze und Admin-Konsole-URLs führen kann

Aufbau einer automatisierten Scan-Pipeline

  • Das Forschungsteam baute ein automatisiertes System, das einen Chrome-Browser in einer Docker-Umgebung mit einem MITM-Proxy umschließt und die Korrelation des ausgehenden Datenverkehrs mit der URL-Länge misst
    • Steigt das Übertragungsvolumen proportional zur URL-Länge, wird die betreffende Erweiterung als Kandidat eingestuft, der URLs extern überträgt
  • Der Scan erfolgte in zwei Phasen und erforderte insgesamt 930 CPU-Tage
    • Zunächst wurden 4 URL-Längen getestet; wurde ein verdächtiges Verhältnis (0.1 ≤ R < 1.0) erkannt, erfolgte eine erneute Prüfung mit 6 zusätzlichen Längen

Erkennung und Analyse von Datenabflüssen

  • Es wurde bestätigt, dass 287 Erweiterungen den Browserverlauf an externe Server übertragen
  • Die Gesamtzahl der Installationen dieser Erweiterungen liegt bei rund 37,4 Millionen, also ungefähr 1 % aller Chrome-Nutzer weltweit
  • Die abgeflossenen Daten werden an Similarweb, Curly Doggo, Offidocs, Big Star Labs und weitere Ziele übertragen; ein Teil wird über den Kontera-Scraper erneut eingesammelt
  • Beim Betrieb eines Honeypot-Servers zur Nachverfolgung tatsächlicher Datensammler-IP-Adressen griffen 5 große IP-Bereiche wie HashDit, Blocksi AI Web Filter und Kontera wiederholt zu

Zentrale Akteure und Verbindungen

  • Mittels OSINT-Analyse wurden Entwickler-E-Mails, Datenschutzerklärungen und Zertifikatsinformationen der einzelnen Erweiterungen untersucht
  • Es wurde bestätigt, dass die Similarweb-Erweiterung „Similar Sites“ mit dem Kontera-Scraper sowie Curly Doggo und Offidocs verbunden ist
  • Big Star Labs teilt dieselben Code-Muster wie Similarweb und dürfte mit hoher Wahrscheinlichkeit zur selben Organisation gehören

Repräsentative Fälle von Datenabfluss

  • Poper Blocker: verschleiert URLs mit ROT47 und sendet sie an api2.poperblocker.com
  • Stylish: verschlüsselt URLs mit AES‑256 und RSA-Public-Key-Verschlüsselung und sendet sie an userstylesapi.com
  • BlockSite und Video Ad Blocker Plus: übertragen URLs mit LZ-string-UTF16-Kompression und verwenden dasselbe Datenschema
  • Similarweb: überträgt mehrfach URL-kodierte Browsing-Daten an rank.similarweb.com
  • WOT (Web of Trust): verschlüsselt URLs mit einer XOR-basierten benutzerdefinierten Kodierung; die Struktur entspricht der von Similarweb
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP und weitere übertragen Daten jeweils über URL-Parameter, Header, die Google Analytics API usw.

Ausmaß und Auswirkungen der Bedrohung

  • Betroffen sind rund 37,4 Millionen Nutzer, also etwa so viele Menschen wie die Bevölkerung Polens
  • Einige Erweiterungen benötigen funktionsbedingt möglicherweise Zugriff auf den Browserverlauf, viele sammeln Daten jedoch ohne ausdrückliche Zustimmung
  • Die abgeflossenen Daten können für Ad-Targeting, Unternehmensspionage und Session-Hijacking missbraucht werden
    • Besonders in Unternehmensumgebungen besteht für Mitarbeiter, die Erweiterungen zur „Produktivitätssteigerung“ nutzen, das Risiko der Offenlegung interner URLs

Fazit und Warnung

  • Viele der analysierten Erweiterungen verwendeten absichtliche Verschlüsselungs- und Verschleierungstechniken, um einer Erkennung zu entgehen
  • Dies wirkt nicht wie ein bloßer Bug, sondern wie ein Geschäftsmodell auf Basis von Datensammlung
  • Es sollte daran erinnert werden, dass Nutzer bei kostenloser, aber nicht Open-Source-Software selbst zum „Produkt“ werden können
  • Bei der Installation von Chrome-Erweiterungen sind eine Prüfung der Berechtigungen und Kontrolle der Herkunft unverzichtbar

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-12
Hacker-News-Kommentare

  • Vor etwa 15 Jahren habe ich eine Chrome-Erweiterung mit einer einzelnen Funktion erstellt, die ziemlich beliebt war.
    Ich habe sie für ein paar Tausend Dollar verkauft und dann vergessen, aber heute ist klar erkennbar, dass böswillige Akteure genau dieses Muster nutzen: legitime Erweiterungen aufkaufen und mit Nutzerdaten Geld verdienen.
    Ich habe mehrere solche Fälle selbst gesehen.

    • Ich pflege seit über 10 Jahren eine beliebte Cross-Browser-Erweiterung, und Anfragen zur Monetarisierung reißen nicht ab.
      Die dazugehörige Diskussion ist in einer GitHub-Diskussion zusammengefasst.
    • Das ist ein typischer Supply-Chain-Angriff.
      Es funktioniert ähnlich wie wenn Gamer hochstufige Charaktere verkaufen oder SNS-Konten den Besitzer wechseln.
      Die neue Front im Sicherheitsbereich sind jetzt Browser-Erweiterungen, Cloud-Integrationen und App-Berechtigungen.
      Wenn man irgendeiner App Vollzugriff auf Gmail oder Google Drive gibt, kann man Ransomware ausgesetzt sein.
      Auf dem lokalen OS bleiben keine Spuren zurück, und auch Virenscanner erkennen es nicht.
      Die Sicherheitsprüfung ist so umständlich, dass es eine Qual ist, Zugriffe einzeln wieder zu entziehen.
      Wir brauchen einen besseren Weg.
    • Vor 15 Jahren dürfte dieser Handel gerade erst begonnen haben.
      Den Verkauf von Erweiterungen selbst kann man kaum verhindern, aber die Prüfverfahren des Chrome Web Store sollten verschärft werden.
    • Selbst wenn der Verkäufer keine böse Absicht hatte, sollte es meiner Meinung nach eine gewisse rechtliche Verantwortung für Probleme nach dem Verkauf geben.
      Diese Verantwortung sollte allerdings nicht bei Einzelpersonen liegen, sondern vom Store-Betreiber verwaltet werden.

  • Ich habe zusammengestellt, wie man sich selbst schützen kann, wenn eine vertrauenswürdige Erweiterung plötzlich bösartig wird.

    • Mit Extensions Update Notifier kann man Updates überwachen und prüfen, ob sich die Eigentümerschaft geändert hat.
    • Im Brave-Browser kann man mit brave://flags/#brave-extension-network-blocking eigene Regeln zur Traffic-Filterung setzen.
    • Man kann auch das GitHub-Repository klonen, mit Claude Code auf Sicherheit prüfen und dann selbst bauen, um manuell zu aktualisieren.
      • Ich halte diese Methode für wirklich gut.
        Mich würde interessieren, ob es Tools gibt, mit denen sich eine Erweiterungs-Codebasis deterministisch auditieren lässt.

  • Ich verwende ausschließlich Open-Source-Erweiterungen.
    Nur Dingen wie uBlock Origin oder SponsorBlock vertraue ich, also Erweiterungen, deren Code offenliegt und deren Entwickler nicht anonym sind.
    Der Chrome Web Store ist faktisch ein unregulierter Markt, und Google streicht nur die Gewinne ein.
    Open Source ist die minimale Sicherheitsmaßnahme, bei der man den Code vor der Installation wenigstens selbst prüfen kann.

    • Open-Source-Erweiterungen von vertrauenswürdigen, nicht anonymen Entwicklern sind ein gutes Signal, aber es gibt keine Garantie, dass das tatsächlich ausgelieferte Paket vollständig mit dem öffentlichen Code übereinstimmt.
      Das gilt genauso für andere Open-Source-Vertriebskanäle wie pip, npm oder rpm.
    • Daher frage ich mich, wie man verifizieren kann, ob der installierte Erweiterungscode exakt mit dem veröffentlichten Code übereinstimmt.
    • Deshalb finde ich es schade, dass Tampermonkey nicht Open Source ist.
      Eine entsprechende Diskussion gibt es in einer GitHub-Diskussion.
    • Man kann nicht alles selbst auditieren, deshalb braucht es meiner Meinung nach ein Verifizierungssystem durch vertrauenswürdige Institutionen.
      „Vertraut Google nicht“ ist weniger realistisch als „Verbessern wir die Rahmenbedingungen“.
    • Automatische Updates zu deaktivieren und Version Locking zu nutzen ist ebenfalls sicherer.
      Firefox oder Safari eignen sich dafür besser als Chrome.

  • Der Code der meisten Erweiterungen ist zwar obfuskiert, aber jeder kann sich den Quellcode ansehen.
    Die Vorgehensweise ist unter diesem Link beschrieben.
    Ich betreibe selbst eine kleine Erweiterung mit etwa 2.000 Nutzern, und ich bekomme häufig Kaufangebote mit dem Ziel, sie in Malware zu verwandeln.
    Ein Beispiel ist One Click Image Saver.

  • Meine Tochter in der Grundschule nutzt in der Schule Google Classroom auf einem Chromebook, und es gibt fast keine Beschränkungen für Erweiterungen.
    Bei jeder Anmeldung zeigt Chrome die Meldung an, dass „eine Erweiterung aufgrund schädlicher Aktivitäten entfernt wurde“.

    • Vielleicht merkt meine Tochter gar nicht, wenn eine Erweiterung Kamera oder Suchverlauf ausspioniert.
      Deshalb denke ich, dass es besser ist, nur Open-Source-Erweiterungen zu verwenden oder sie selbst zu erstellen.
      Wenn die Funktion einfach ist, kann man sie mit Tampermonkey selbst schreiben und den Code auch selbst prüfen.
      Ich erstelle inzwischen die meisten Erweiterungen, die ich nutze, selbst.
      Mit Tampermonkey lassen sich Änderungen und Code-Reviews einfach durchführen, und auch Sicherheitsprüfungen mit AI-Tools sind leicht möglich.

  • Ich deaktiviere automatische Updates für jede Software.
    Die Aussage „Wenn du nicht sofort updatest, wirst du gehackt“ ist ein Mythos.
    Ich habe eher das Gefühl, dass man nach einem Update mit höherer Wahrscheinlichkeit kompromittiert wird.

    • Am Ende ist es eine Situation, in der sowohl Updates als auch Nicht-Updates riskant sind.

  • Nicht vertrauenswürdige Erweiterungen werden irgendwann mit hoher Wahrscheinlichkeit verkauft und in Schadcode verwandelt.
    Deshalb installiere ich nur uBlock Origin.

    • Ich betreibe selbst eine Erweiterung mit über 100.000 Nutzern, und ich habe Hunderte E-Mails mit Kaufangeboten bekommen.
      Sie kamen alle an die von Google vorgeschriebene öffentliche E-Mail-Adresse.
      Keine einzige davon war nützlich.
      Deshalb vertraue ich auch nur uBlock Origin, Bitwarden und den Erweiterungen, die ich selbst erstellt habe.
      Ein Beispiel ist Old Reddit Redirect.
    • Ich nutze ebenfalls nur uBlock Origin.
      Früher habe ich Tree Style Tab verwendet, aber seit Firefox vertikale Tabs nativ unterstützt, brauche ich es nicht mehr.
      Neue Erweiterungen zu installieren ist einfach zu riskant.
    • Zur Einordnung: Das ursprüngliche uBlock-Projekt geriet zeitweise in die Hände einer nicht vertrauenswürdigen Person.
      Der Entwickler Raymond Hill forkte es später erneut und machte daraus das heutige Projekt.

  • Viele Erweiterungen sammeln URL-Parameter aus Suchanfragen wie "u": "https://www.google.com/search?q=target";.
    Das bedeutet, dass sie nicht nur den Browserverlauf erfassen, sondern sogar Authentifizierungs-Token abgreifen können.

    • Wenn ein Dienst Authentifizierungs-Token als URL-Parameter überträgt, sollte man diesen Dienst gar nicht erst verwenden.
      Solche Token sind dann immer offengelegt.

  • Ich frage mich, warum Google als eines der reichsten Unternehmen der Welt dieses Problem nicht selbst gelöst hat.
    Beim Blockieren von Adblockern sind sie so engagiert, aber so etwas lassen sie einfach liegen.

    • Vielleicht wusste Google bereits von diesem Problem.
      Dann wäre die wichtigere Frage: „Warum wurde es nicht offengelegt?“

  • Es wurde ein Befehl geteilt, mit dem sich unter macOS alle installierten Chrome-Erweiterungs-IDs auflisten lassen.

    find "$HOME/Library/Application Support/Google/Chrome" \
  -type d -path "*/Extensions/*" -not -path "*/Extensions/*/*" \
  -print 2>/dev/null | sed 's#.*/Extensions/##' | sort -u

    Das Ergebnis kann man mit der Liste bösartiger Erweiterungen abgleichen.