Autor |. 23pds@SlowMist Sicherheitsteam

Hintergrund

Am 3. Juni 2024 veröffentlichte der Twitter-Benutzer @CryptoNakamao, wie er die bösartige Chrome-Erweiterung Aggr heruntergeladen hatte, was zum Diebstahl von 1 Million US-Dollar führte. Dies veranlasste die Mehrheit der Benutzer der Krypto-Community, auf das Risiko der Erweiterung zu achten und sich Sorgen um die Sicherheit zu machen ihrer eigenen Krypto-Assets. Am 31. Mai veröffentlichte das SlowMist-Sicherheitsteam den Artikel „Wolf im Schafspelz | Analyse des Diebstahls gefälschter Chrome-Erweiterungen“, der eine detaillierte Analyse der bösartigen Methoden der bösartigen Aggr-Erweiterung lieferte. Angesichts des Mangels an Hintergrundwissen zu Browser-Erweiterungen bei Benutzern erläutert SlowMist Chief Information Security Officer 23pds in diesem Artikel anhand von sechs Fragen und sechs Antworten das Grundwissen und die potenziellen Risiken von Erweiterungen und gibt Vorschläge zum Umgang mit Erweiterungsrisiken Helfen Sie einzelnen Benutzern und Handelsplattformen, die Sicherheit von Konten und Vermögenswerten zu verbessern.

(https://x.com/im23pds/status/1797528115897626708)

Fragen und Antworten

1. Was sind Chrome-Erweiterungen?

Chrome Extension ist ein für Google Chrome entwickeltes Plug-in, das die Funktionalität und das Verhalten des Browsers erweitern kann. Sie können das Surferlebnis eines Benutzers anpassen, neue Funktionen oder Inhalte hinzufügen oder mit der Website interagieren. Chrome-Erweiterungen werden normalerweise aus HTML, CSS, JavaScript und anderen Webtechnologien erstellt.

Der Aufbau einer Chrome-Erweiterung besteht in der Regel aus folgenden Teilen:

  • Manifest.json: Erweiterungskonfigurationsdatei, die die grundlegenden Informationen der Erweiterung definiert (z. B. Name, Version, Berechtigungen usw.).

  • Hintergrundskripte: Werden im Hintergrund des Browsers ausgeführt, um Ereignisse und langfristige Aufgaben zu verarbeiten.

  • Inhaltsskripte: Werden im Kontext von Webseiten ausgeführt und können direkt mit Webseiten interagieren.

  • Benutzeroberfläche (UI): z. B. Schaltflächen in der Browser-Symbolleiste, Popup-Fenster, Optionsseiten usw.

2. Was bewirken Chrome-Erweiterungen?

  • Werbeblocker: Die Erweiterung blockiert und blockiert Anzeigen auf Webseiten und verbessert so die Ladegeschwindigkeit von Webseiten und das Benutzererlebnis. Zum Beispiel AdBlock und uBlock Origin.

  • Datenschutz und Sicherheit: Einige Erweiterungen können die Privatsphäre und Sicherheit der Benutzer verbessern, z. B. indem sie Tracking verhindern, die Kommunikation verschlüsseln, Passwörter verwalten usw. Zum Beispiel Privacy Badger und LastPass.

  • Produktivitätstools: Erweiterungen können Benutzern helfen, ihre Produktivität zu verbessern, z. B. Aufgaben zu verwalten, Notizen zu machen, Zeiterfassung usw. Zum Beispiel Todoist und Evernote Web Clipper.

  • Entwicklertools: Stellen Sie Debugging- und Entwicklungstools für Webentwickler bereit, z. B. zum Anzeigen der Webseitenstruktur, zum Debuggen von Code, zum Analysieren von Netzwerkanforderungen usw. Zum Beispiel React Developer Tools und Postman.

  • Soziale Medien und Kommunikation: Die Erweiterung kann soziale Medien und Kommunikationstools integrieren, um Benutzern den Umgang mit Benachrichtigungen, Nachrichten usw. in sozialen Medien beim Surfen im Internet zu erleichtern. Zum Beispiel Grammarly und Facebook Messenger.

  • Webseitenanpassung: Benutzer können das Erscheinungsbild und Verhalten von Webseiten durch Erweiterungen anpassen, z. B. durch Ändern von Themen, Neuanordnen von Seitenelementen, Hinzufügen zusätzlicher Funktionen usw. Zum Beispiel Stylish und Tampermonkey.

  • Aufgaben automatisieren: Erweiterungen können Benutzern dabei helfen, sich wiederholende Aufgaben zu automatisieren, z. B. das automatische Ausfüllen von Formularen, das Stapel-Downloaden von Dateien usw. Zum Beispiel iMacros und DownThemAll.

  • Sprachübersetzung: Einige Erweiterungen können Webinhalte in Echtzeit übersetzen, um Benutzern das Verständnis von Webseiten in verschiedenen Sprachen zu erleichtern, z. B. Google Translate.

  • Unterstützung bei Kryptowährungen: Erweiterungen wie MetaMask usw. können Benutzern dabei helfen, Kryptowährungstransaktionen komfortabler zu gestalten.

Die Flexibilität und Vielfalt der Chrome-Erweiterungen ermöglicht deren Anwendung auf nahezu jedes Browserszenario und hilft Benutzern, verschiedene Aufgaben effizienter zu erledigen.

3. Welche Berechtigungen hat die Chrome-Erweiterung nach der Installation?

Nach der Installation kann eine Chrome-Erweiterung eine Reihe von Berechtigungen anfordern, um bestimmte Funktionen auszuführen. Diese Berechtigungen werden in der Datei manifest.json der Erweiterung deklariert und der Benutzer wird bei der Installation zur Bestätigung aufgefordert. Zu den allgemeinen Berechtigungen gehören:

  • : Ermöglicht der Erweiterung den Zugriff auf den Inhalt aller Websites. Dabei handelt es sich um eine umfassende Berechtigung, die es der Erweiterung ermöglicht, alle Daten der Website zu lesen und zu ändern.

  • Tabs: Ermöglicht der Erweiterung den Zugriff auf die Tab-Informationen des Browsers, einschließlich des Abrufens aktuell geöffneter Tabs, des Erstellens und Schließens von Tabs usw.

  • activeTab: Ermöglicht der Erweiterung den vorübergehenden Zugriff auf die aktuell aktive Registerkarte, die normalerweise zum Ausführen bestimmter Aktionen verwendet wird, wenn der Benutzer auf die Erweiterungsschaltfläche klickt.

  • Speicher: Ermöglicht Erweiterungen, die Speicher-API von Chrome zum Speichern und Abrufen von Daten zu verwenden. Hiermit können die Einstellungen, Benutzerdaten etc. der Erweiterung gespeichert werden.

  • Cookies: Ermöglicht der Erweiterung den Zugriff auf Cookies im Browser und deren Änderung.

  • webRequest und webRequestBlocking: Erlauben Sie Erweiterungen, Netzwerkanfragen abzufangen und zu ändern. Diese Berechtigungen werden normalerweise für Werbeblocker und Datenschutzerweiterungen verwendet.

  • Lesezeichen: Ermöglicht der Erweiterung den Zugriff auf die Lesezeichen des Browsers und deren Änderung.

  • Verlauf: Ermöglicht der Erweiterung den Zugriff auf den Browserverlauf und dessen Änderung.

  • Benachrichtigungen: Ermöglicht der Erweiterung, Desktop-Benachrichtigungen anzuzeigen.

  • contextMenus: Ermöglicht Erweiterungen, benutzerdefinierte Menüelemente zum Kontextmenü des Browsers (Rechtsklick-Menü) hinzuzufügen.

  • Geolocation: Ermöglicht der Erweiterung den Zugriff auf die Geolocation-Informationen des Benutzers.

  • ClipboardRead und ClipboardWrite: Erweiterungen erlauben, den Inhalt der Zwischenablage zu lesen und zu schreiben.

  • Downloads: Ermöglicht der Erweiterung, Downloads zu verwalten, einschließlich Starten, Anhalten und Abbrechen von Downloads.

  • Verwaltung: Ermöglicht der Erweiterung, die anderen Erweiterungen und Anwendungen des Browsers zu verwalten.

  • Hintergrund: Ermöglicht Erweiterungen, lang laufende Aufgaben im Hintergrund auszuführen.

  • Benachrichtigungen: Ermöglicht der Erweiterung, Systembenachrichtigungen anzuzeigen.

  • webNavigation: Ermöglicht Erweiterungen, das Navigationsverhalten des Browsers zu überwachen und zu ändern.

Diese Berechtigungen ermöglichen es Chrome-Erweiterungen, viele leistungsstarke und vielfältige Funktionen auszuführen, bedeuten aber auch, dass sie möglicherweise auf die sensiblen Daten des Benutzers zugreifen können, wie z. B. Cookies, Authentifizierungsinformationen usw.

4. Warum können bösartige Chrome-Erweiterungen Benutzerberechtigungen stehlen?

Schädliche Chrome-Erweiterungen können angeforderte Berechtigungen ausnutzen, um die Berechtigungen und Authentifizierungsinformationen eines Benutzers zu stehlen, da diese Erweiterungen direkten Zugriff auf die Browserumgebung und Daten des Benutzers haben und diese manipulieren können. Die spezifischen Gründe und Methoden sind wie folgt:

  • Umfangreicher Berechtigungszugriff: Schädliche Erweiterungen fordern normalerweise eine große Anzahl von Berechtigungen an, z. B. den Zugriff auf alle Websites (), das Lesen und Ändern von Browser-Registerkarten (Tabs), den Zugriff auf den Speicher (Storage) des Browsers usw. Diese Berechtigungen gewähren der bösartigen Erweiterung weitreichenden Zugriff auf die Browsing-Aktivitäten und -Daten eines Benutzers.

  • Netzwerkanfragen manipulieren: Eine böswillige Erweiterung kann die Berechtigungen webRequest und webRequestBlocking verwenden, um Netzwerkanfragen abzufangen und zu ändern, um Benutzerauthentifizierungsinformationen und vertrauliche Daten zu stehlen. Sie können beispielsweise Formulardaten abfangen und Benutzernamen und Passwörter abrufen, wenn sich Benutzer auf einer Website anmelden.

  • Seiteninhalte lesen und schreiben: Durch Inhaltsskripte können bösartige Erweiterungen Code in Webseiten einbetten, um Seiteninhalte zu lesen und zu ändern. Das bedeutet, dass sie alle Daten stehlen können, die ein Benutzer auf einer Webseite eingibt, z. B. Formularinformationen, Suchanfragen usw.

  • Zugriff auf den Browserspeicher: Eine böswillige Erweiterung kann Speicherberechtigungen verwenden, um auf die lokalen Daten des Benutzers zuzugreifen und diese zu speichern, einschließlich Browserspeicher (wie LocalStorage und IndexedDB), der möglicherweise vertrauliche Informationen enthält.

  • Manipulieren Sie die Zwischenablage: Mit den Berechtigungen „clipboardRead“ und „clipboardWrite“ kann eine böswillige Erweiterung den Inhalt der Zwischenablage des Benutzers lesen und schreiben und so die kopierten und eingefügten Informationen des Benutzers stehlen oder manipulieren.

  • Als legitime Website tarnen: Schädliche Erweiterungen können sich als legitime Websites tarnen, indem sie den Inhalt des Browsers ändern oder die von Benutzern besuchten Webseiten umleiten und Benutzer zur Eingabe vertraulicher Informationen verleiten.

  • Langfristige Ausführung im Hintergrund: Schädliche Erweiterungen mit Hintergrundberechtigungen können weiterhin im Hintergrund ausgeführt werden, auch wenn der Benutzer sie nicht aktiv verwendet. Dadurch können sie die Aktivitäten der Nutzer über lange Zeiträume überwachen und große Datenmengen sammeln.

  • Operative Downloads: Mithilfe der Download-Berechtigung kann eine bösartige Erweiterung schädliche Dateien herunterladen und ausführen, wodurch die Systemsicherheit des Benutzers weiter gefährdet wird.

5. Warum wurden den Opfern dieser böswilligen Erweiterung ihre Berechtigungen gestohlen und ihre Gelder kompromittiert?

Da die bösartige Aggr-Erweiterung dieses Mal nur die Hintergrundinformationen erhalten hat, über die wir oben gesprochen haben, ist das Folgende ein Fragment des Berechtigungsinhalts der Datei manifests.json des bösartigen Plug-ins:

  • Kekse

  • Registerkarten

  • Lagerung

6. Was kann eine bösartige Chrome-Erweiterung tun, nachdem sie die Cookies der Benutzer gestohlen hat?

  • Auf Konten zugreifen: Schädliche Erweiterungen können gestohlene Cookies verwenden, um zu simulieren, dass sich Benutzer bei Handelsplattformkonten anmelden und so auf die Kontoinformationen der Benutzer zugreifen, einschließlich Guthaben, Transaktionsverlauf usw.

  • Transaktionen durchführen: Gestohlene Cookies könnten es einer böswilligen Erweiterung ermöglichen, Transaktionen ohne Zustimmung des Benutzers durchzuführen, Kryptowährungen zu kaufen oder zu verkaufen oder sogar Vermögenswerte auf andere Konten zu übertragen.

  • Geld abheben: Wenn Cookies Sitzungsinformationen und Authentifizierungstoken enthalten, könnte eine böswillige Erweiterung die Zwei-Faktor-Authentifizierung (2FA) umgehen und direkt eine Geldabhebung veranlassen, indem sie die Kryptowährung des Benutzers an eine vom Angreifer kontrollierte Wallet überträgt.

  • Zugriff auf vertrauliche Informationen: Schädliche Erweiterungen können auf vertrauliche Informationen in den Handelsplattformkonten der Benutzer zugreifen und diese sammeln, wie z. B. Authentifizierungsdokumente, Adressen usw., die für weiteren Identitätsdiebstahl oder Betrug verwendet werden können.

  • Kontoeinstellungen ändern: Schädliche Erweiterungen können die Kontoeinstellungen des Benutzers ändern, z. B. gebundene E-Mail-Adressen, Mobiltelefonnummern usw., um das Konto weiter zu kontrollieren und mehr Informationen zu stehlen.

  • Sich als Benutzer ausgeben, um Social-Engineering-Angriffe durchzuführen: Verwendung von Benutzerkonten zur Durchführung von Social-Engineering-Angriffen, z. B. Senden betrügerischer Informationen an die Kontakte des Benutzers, um diese zu unsicheren Vorgängen zu verleiten oder sensiblere Informationen bereitzustellen.

Gegenmaßnahmen

Angesichts dessen fragen sich die meisten Benutzer möglicherweise: Was soll ich tun, einfach die Verbindung zum Internet trennen und mit dem Spielen aufhören? Benutzen Sie einen separaten Computer? Sie benötigen keine Web-Login-Plattform? Sprüche über das Töten mit dem Stock gibt es im Internet viele, doch tatsächlich können wir lernen, wie man solchen Risiken sinnvoll vorbeugen kann:

Gegenmaßnahmen für einzelne Benutzer:

  • Persönliches Sicherheitsbewusstsein stärken: Der erste Präventionsvorschlag besteht darin, das persönliche Sicherheitsbewusstsein zu stärken und stets eine skeptische Haltung beizubehalten.

  • Installieren Sie Erweiterungen nur aus vertrauenswürdigen Quellen: Installieren Sie Erweiterungen aus dem Chrome Web Store oder anderen vertrauenswürdigen Quellen und lesen Sie Benutzerbewertungen und Berechtigungsanfragen, um zu verhindern, dass Erweiterungen unnötigen Zugriff gewähren.

  • Verwenden Sie eine sichere Browserumgebung: Vermeiden Sie die Installation von Erweiterungen aus unbekannten Quellen, überprüfen und löschen Sie regelmäßig unnötige Erweiterungen, installieren Sie verschiedene Browser, isolieren Sie Plug-in-Browser und Transaktionsfondsbrowser.

  • Überprüfen Sie regelmäßig die Kontoaktivitäten: Überprüfen Sie regelmäßig die Anmeldeaktivitäten und Transaktionsaufzeichnungen Ihres Kontos und ergreifen Sie sofort Maßnahmen, wenn verdächtiges Verhalten festgestellt wird.

  • Denken Sie daran, sich abzumelden: Denken Sie daran, sich nach der Nutzung der Web-Betriebssystemplattform abzumelden. Der Einfachheit halber verzichten viele Menschen darauf, sich abzumelden, nachdem sie den Vorgang auf der Plattform abgeschlossen haben. Diese Angewohnheit birgt Sicherheitsrisiken.

  • Verwenden Sie eine Hardware-Wallet: Verwenden Sie für große Mengen an Vermögenswerten eine Hardware-Wallet zur Speicherung, um die Sicherheit zu erhöhen.

  • Browsereinstellungen und Sicherheitstools: Verwenden Sie sichere Browsereinstellungen und Erweiterungen (z. B. Werbeblocker, Datenschutztools), um das Risiko böswilliger Erweiterungen zu verringern.

  • Verwenden Sie Sicherheitssoftware: Installieren und verwenden Sie Sicherheitssoftware, um schädliche Erweiterungen und andere Malware zu erkennen und zu verhindern, dass sie Böses anrichten.

Schließlich gibt es Vorschläge zur Risikokontrolle für die Plattform. Durch diese Maßnahmen kann die Handelsplattform die Sicherheitsrisiken reduzieren, die den Benutzern durch bösartige Chrome-Erweiterungen entstehen:

· Erzwingen Sie die Verwendung der Zwei-Faktor-Authentifizierung (2FA):

- 2FA global aktivieren: Fordern Sie alle Benutzer auf, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, wenn sie sich anmelden und wichtige Vorgänge ausführen (z. B. Handel, Aufträge erteilen, Geld abheben), um sicherzustellen, dass Angreifer auch dann nicht leicht darauf zugreifen können, wenn die Cookies eines Benutzers gestohlen werden das Konto.

- Mehrere Verifizierungsmethoden: Unterstützt mehrere sekundäre Verifizierungsmethoden wie SMS, E-Mail, Google Authenticator und Hardware-Tokens.

· Sitzungsverwaltung und Sicherheit:

- Geräteverwaltung: Bietet Benutzern die Möglichkeit, angemeldete Geräte anzuzeigen und zu verwalten, sodass Benutzer sich jederzeit von Sitzungen mit unbekannten Geräten abmelden können.

- Sitzungs-Timeout: Implementieren Sie eine Sitzungs-Timeout-Richtlinie, um Sitzungen, die längere Zeit inaktiv waren, automatisch abzumelden, um das Risiko eines Sitzungsdiebstahls zu verringern.

- IP-Adress- und Geolocation-Überwachung: Erkennen und alarmieren Sie Benutzer bei Anmeldeversuchen von ungewöhnlichen IP-Adressen oder Geostandorten und blockieren Sie diese Anmeldungen bei Bedarf.

· Verstärken Sie die Kontosicherheitseinstellungen:

- Sicherheitsbenachrichtigungen: Senden Sie sofort Benachrichtigungen an Benutzer über wichtige Vorgänge wie Kontoanmeldung, Passwortänderungen, Geldabhebungen usw. Benutzer können per E-Mail oder SMS an ungewöhnliche Aktivitäten erinnert werden.

- Funktion zum Einfrieren von Konten: Bietet Benutzern die Möglichkeit, Konten in Notsituationen schnell einzufrieren, um das Ausmaß des Schadens zu kontrollieren.

· Überwachungs- und Risikokontrollsysteme stärken:

- Erkennung abnormalen Verhaltens: Nutzen Sie maschinelles Lernen und Big-Data-Analysen, um das Benutzerverhalten zu überwachen, abnormale Transaktionsmuster und Kontoaktivitäten zu identifizieren und rechtzeitig Maßnahmen zur Risikokontrolle durchzuführen.

- Risikokontrollwarnung: Bieten Sie Frühwarnungen und Einschränkungen bei verdächtigen Verhaltensweisen wie häufigen Änderungen an Kontoinformationen, häufigen fehlgeschlagenen Anmeldeversuchen usw.

· Stellen Sie Benutzern Sicherheitsschulungen und Tools zur Verfügung:

- Sicherheitserziehung: Machen Sie Benutzern Sicherheitswissen über offizielle soziale Konten, E-Mails, plattforminterne Benachrichtigungen und andere Kanäle bekannt und erinnern Sie Benutzer daran, auf die Risiken von Browsererweiterungen zu achten und ihre Konten zu schützen.

- Sicherheitstools: Stellen Sie offizielle Browser-Plug-ins oder -Erweiterungen bereit, um Benutzern dabei zu helfen, die Kontosicherheit zu verbessern, mögliche Sicherheitsbedrohungen zu erkennen und Benutzer darauf aufmerksam zu machen.

Abschluss

Ehrlich gesagt ist es aus technischer Sicht oft nicht der beste Weg, alle oben genannten Risikokontrollmaßnahmen zu ergreifen. Wenn Sicherheit und Geschäft zu wichtig sind, ist die sekundäre Authentifizierung beispielsweise erforderlich, um Bestellungen aufzugeben. Das Ergebnis ist, dass es für Sie und Hacker praktisch ist, denn sobald die Cookies gestohlen sind und die Münzen nicht mehr abgehoben werden können, können Hacker gegeneinander spielen und den Vermögenswerten der Benutzer Schaden zufügen. Daher sind die Methoden zur Risikokontrolle für verschiedene Plattformen und Benutzer unterschiedlich. Was das Gleichgewicht zwischen Sicherheit und Geschäft angeht, haben verschiedene Plattformen unterschiedliche Überlegungen. Wir hoffen, dass die Plattform die Sicherheit von Benutzerkonten und Vermögenswerten schützen und gleichzeitig die Benutzererfahrung berücksichtigen kann.