Internet-Nutzer müssen jetzt handeln: 108 Browser-Erweiterungen stehlen Ihre Daten

Mehr als 100 Erweiterungen im Google Chrome Web Store geben sich als nützliche Tools aus – tatsächlich stehlen sie im Hintergrund Daten, kapern Sitzungen und öffnen unbemerkt fremde Webseiten. Sicherheitsforscher warnen vor einer groß angelegten Angriffskampagne und raten Nutzern zum sofortigen Handeln.

108 Erweiterungen sind Teil einer koordinierten Kampagne

Das Sicherheitsunternehmen Socket hat insgesamt 108 betroffene Chrome-Erweiterungen identifiziert. Sie wurden unter verschiedenen Entwicklernamen veröffentlicht, greifen jedoch alle auf dieselbe technische Infrastruktur zurück. Insgesamt kommen sie auf rund 20.000 Installationen.

Besonders tückisch: Die Add-ons wirken vollkommen unauffällig. Darunter sind etwa Clients für Telegram, Spiele, Übersetzungstools oder Erweiterungen für Youtube. Sie funktionieren wie versprochen – führen gleichzeitig aber versteckten Schadcode aus, der unbemerkt Daten abgreift.

Ein besonders gefährliches Beispiel ist die Erweiterung „Telegram Multi-account“. Sie kann aktive Sitzungen von Telegram auslesen und alle 15 Sekunden an Server der Angreifer übertragen.

Das Problem: Mit diesen Sitzungsdaten können Angreifer direkt auf Konten zugreifen – ohne Passwort oder Zwei-Faktor-Authentifizierung. Im Extremfall lässt sich die Sitzung sogar austauschen, sodass plötzlich ein fremdes Konto im eigenen Browser aktiv ist.

Google-Daten werden ebenfalls gesammelt

54 der Erweiterungen greifen zudem auf das Google-Login zu. Nutzer werden dabei regulär zur Anmeldung aufgefordert – im Hintergrund werden jedoch Profildaten wie E-Mail-Adresse, Name und Profilbild abgegriffen.

Wichtig: Passwörter oder Zugriffstokens werden laut Analyse zwar nicht direkt gestohlen. Die gesammelten Daten reichen jedoch aus, um Nutzer eindeutig zu identifizieren und langfristig zu verfolgen.

Hintertür im Browser: Webseiten öffnen sich von selbst

45 Erweiterungen enthalten eine versteckte Hintertür. Diese wird bei jedem Start des Browsers aktiv und kann beliebige Webseiten öffnen.

Für Nutzer bedeutet das: Der eigene Browser kann unbemerkt für Werbung, Phishing oder andere Angriffe missbraucht werden – selbst dann, wenn die Erweiterung gar nicht aktiv genutzt wird.

Gemeinsame Infrastruktur deutet auf organisierten Angriff hin

Alle Erweiterungen kommunizieren mit derselben Serverstruktur rund um die Domain „cloudapi“. Diese fungiert als zentrale Steuerstelle (Command-and-Control-Server). Laut den Forschern spricht vieles für ein organisiertes Modell, möglicherweise „Malware-as-a-Service“. Dabei könnten gestohlene Daten und Zugriffe gezielt weiterverkauft werden.

Besonders brisant: Viele der Erweiterungen behaupten im Chrome Web Store ausdrücklich, keine Daten zu sammeln oder weiterzugeben. Die Analyse zeigt jedoch das Gegenteil.

Damit verstoßen sie klar gegen die Richtlinien des Google Chrome Web Store sowie gegen Googles Vorgaben zur Nutzung von Nutzerdaten.

Was Sie jetzt tun sollten

Wenn Sie Google Chrome nutzen, sollten Sie jetzt aktiv werden:

• Erweiterungen prüfen: Öffnen Sie chrome://extensions/ und entfernen Sie alle unbekannten oder unnötigen Add-ons.
• Verdächtige Tools löschen: Seien Sie besonders vorsichtig bei Erweiterungen für Telegram, Spielen oder Tools für Youtube.
• Google-Konto kontrollieren: Prüfen Sie Ihre App-Berechtigungen und entfernen Sie unbekannte Zugriffe.
• Telegram absichern: Beenden Sie alle aktiven Sitzungen in der App.
• Minimalprinzip anwenden: Installieren Sie nur Erweiterungen, die Sie wirklich benötigen.

Der Vorfall zeigt einmal mehr: Browser-Erweiterungen haben weitreichende Rechte und laufen oft unbemerkt im Hintergrund. Prüfen Sie deshalb regelmäßig, welche Add-ons Sie installiert haben – und entfernen Sie alles, was Ihnen nicht absolut vertrauenswürdig erscheint.

30 gefährliche Browser-Erweiterungen enttarnt: Diese KI-Add-ons stehlen Ihre Daten