© 2017 picture alliance / dpa Themendienst
Smartphones

Goog­le Chro­me: 4,8 Mil­lio­nen User von Hacker-Atta­cke betroffen?

Die Angreifer suchten sich Erweiterungen von Google Chrome – und programmierten sie für ihre eigenen Zwecke um.

Eine neue Hacker-Atta­cke hat womög­lich 4,8 Mil­lio­nen User betrof­fen. Denn die Angrei­fer wähl­ten eine unge­wöhn­li­che Vor­ge­hens­wei­se: Sie kaper­ten die Erwei­te­run­gen des Goog­le-Brow­sers Chro­me und nutz­ten sie für soge­nann­tes “Mal­ver­ti­sing” – das uner­laub­te Ver­sen­den von Werbung.

Zuletzt waren es meist Mal­wa­re-Apps, die es über die App Stores oder inof­fi­zi­el­le Down­load-Platt­for­men auf die Rech­ner unwis­sen­der Nut­zer geschafft hat­ten. Erst kürz­lich wur­de mit “SonicS­py” ein Schad­pro­gramm ent­deckt, das 73 ver­schie­de­ne Befeh­le aus­lö­sen konn­te, ohne dass der User es bemerk­te, dar­un­ter Kame­ra­auf­nah­men, Audio-Mit­schnit­te oder kos­ten­pflich­ti­ge Anrufe.

Der jüngs­te Fall hat wohl noch kei­ne so gra­vie­ren­den Aus­wir­kun­gen – dafür aber womög­lich umso mehr Betrof­fe­ne. 4,8 Mil­lio­nen poten­zi­el­le Opfer, so Wor­d­fence, hat die­se neu­es­te Atta­cke. Denn so vie­le könn­ten Phis­hing-Mails bezie­hungs­wei­se soge­nann­te Mal­ver­ti­sing-Anzei­gen erhal­ten haben mit dem Ziel, uner­laubt an Nut­zer­da­ten zu gelan­gen. Dafür knack­ten die Täter die Log­in-Daten der Ent­wick­ler von acht Chro­me-Erwei­te­run­gen und mani­pu­lier­ten die Pro­gram­me so, dass die­se ihre Phis­hing-Atta­cken aus­führ­ten. Drei Mona­te lang konn­ten die Angrei­fer offen­bar uner­kannt ihr Unwe­sen trei­ben. Wie vie­le User in die­sem Zeit­raum auf Anzei­gen reagier­ten und womög­lich per­sön­li­che Daten preis­ga­ben, lässt sich nicht beziffern.

Was woll­ten die Angrei­fer mit den Cloudfare-Schlüsseln?

Die mani­pu­lier­ten Erwei­te­run­gen erbeu­te­ten bei Web­sei­ten-Betrei­bern teil­wei­se auch die Schlüs­sel zum Ser­ver-Netz­werk Cloud­fa­re. Damit hät­ten die Angrei­fer theo­re­tisch den Traf­fic gan­zer Web­sei­ten kom­plett umlei­ten kön­nen. Die Wor­d­fence-Exper­ten haben aber kei­nen Fall aus­fin­dig gemacht, bei dem das bis jetzt pas­siert wäre. Mög­li­cher­wei­se wur­den die Daten für eine spä­te­re Atta­cke gesammelt.

Die­ses sind die Erwei­te­run­gen, bei denen eine Über­nah­me fest­ge­stellt wurde:

  • Web Deve­lo­per – Ver­si­ons 0.4.9
  • Chro­me­ta­na – Ver­si­on 1.1.3
  • Infi­ni­ty New Tab – Ver­si­on 3.12.3
  • Copy­Fi­sh – Ver­si­on 2.8.5
  • Web Paint – Ver­si­on 1.2.1
  • Social Fixer 20.1.1
  • TouchVPN
  • Bet­ter­net VPN
Time to share:  Falls dir dieser Artikel gefallen hat, freuen wir uns!