Ein Großteil der Arbeit von Entwickelnden findet heute im Browser statt, mit Tabs für GitHub, Cloud-Konsolen, CI/CD und interne Tools, die alle gleichzeitig authentifiziert und geöffnet sind. Browser-Erweiterungen agieren in dieser Umgebung mit weitreichenden Berechtigungen, oft einschließlich Zugriff auf Seiteninhalte, Netzwerkanfragen und Sitzungsdaten. Diese Kombination macht sie zu einem der attraktivsten Ziele für Angreifer.
Eine einzelne Browser-Erweiterung spielte eine große Rolle in der Angriffskette bei der Vercel-Datenpanne Anfang dieses Jahres, und es wird nicht das letzte Mal sein. Dieser Artikel behandelt, wie Erweiterungen tatsächlich funktionieren, warum die Kontrollen, auf die sich die meisten Organisationen verlassen, unzureichend sind und was sowohl auf individueller als auch auf organisatorischer Ebene funktioniert.
Wie Browser-Erweiterungen funktionieren und warum sie anfällig sind
Ich fasse die Definitionen kurz, aber kurz gesagt erweitern Browser-Erweiterungen die Funktionalität Ihres Browsers auf unterhaltsame Weise, indem sie Software mit weitreichenden Browser-Privilegien installieren.
Erweiterungen basieren auf Web-APIs und laufen innerhalb des Browser-Prozesses selbst. Eine manifest.json-Datei deklariert, welche Berechtigungen die Erweiterung zum Zeitpunkt der Installation anfordert. Hintergrund-Service-Worker laufen persistent und verarbeiten Netzwerkanfragen sowie die Kommunikation mit externen Servern. Content-Skripte werden separat in das Seiten-DOM injiziert, was einer Erweiterung direkten Zugriff auf alles gibt, was im Browser gerendert wird.
Wenn Sie einer Erweiterung Zugriff auf „alle Websites“ gewähren, geben Sie ihr Lese- und Schreibzugriff auf jede Seite, die der Browser lädt, einschließlich authentifizierter Sitzungen, Formulareingaben und API-Antworten während der Übertragung. Sie können sehr viel sehen. Erweiterungen können den Tresor eines Passwort-Managers nicht direkt knacken, aber das müssen sie auch nicht. Mit den richtigen Host-Berechtigungen und der Injektion von Content-Skripten können sie Autofill-Ereignisse abfangen und Formularfeldwerte vor dem Absenden lesen. Sie können Anmeldeinformationen während der Eingabe erfassen, wenn Passwörter im Klartext im HTML-Quellcode vorliegen (was häufiger vorkommt, als man hoffen würde).
Ein weiteres Sicherheitsproblem bei Browser-Erweiterungen ist, dass sie sich still und automatisch aktualisieren, ohne um Zustimmung zu bitten. Im Gegensatz zu den meisten Programmen, die Sie zur Genehmigung von Updates auffordern, benachrichtigt Sie eine Erweiterung nur dann, wenn sie zusätzliche Berechtigungen benötigt, die über die bereits vorhandenen hinausgehen. Eine Erweiterung, die letzten Monat noch sauber war, könnte heute Nacht ein bösartiges Update erhalten, und jeder Benutzer, der sie installiert hat, würde es automatisch erhalten.
Warum werden Browser-Erweiterungen für Angriffe genutzt?
Man sagt schon lange, „der Browser ist der neue Desktop“ mindestens seit der Einführung von Chrome, und für Entwickelnde ist das nicht weit hergeholt. Wenn das stimmt, dann sind Erweiterungen die Anwendungen, die auf diesem Desktop laufen, mit Zugriff auf GitHub- und AWS-Konsolen.
Cookies sind eine der anfälligen Komponenten. Sitzungscookies können exfiltriert und wiederverwendet werden, was einem Angreifer von überall her Zugriff auf alles gibt, worin das Opfer authentifiziert ist. Für einen Angreifer ist der persistente Zugriff auf authentifizierte Browser-Sitzungen also ziemlich wertvoll. Glassworm ist ein andauernder Supply-Chain-Angriff, der Hunderte von Projekten auf GitHub, npm und VS Code kompromittiert hat. In einer Entwicklung aus dem Jahr 2026, entdeckt vom Sicherheitsteam von Aikido, setzte die Kampagne eine Malware ein, die speziell eine Browser-Erweiterung installierte, um Sitzungscookies und Tokens aus Browser-Sitzungen zu stehlen. Der Angreifer wusste, dass eine Erweiterung ein einfacher Weg wäre, diese Daten zu stehlen!
Es ist auch relativ einfach, schädliche Erweiterungen zu erstellen und zu veröffentlichen. Größtenteils ist der Überprüfungsprozess im Chrome Web Store minimal, und Updates für bereits veröffentlichte Erweiterungen werden nach der ersten Überprüfung kaum geprüft. Zum Beispiel haben Forschende in Indien zwischen Januar und März 2025 tatsächlich bösartige Erweiterungen erstellt und sowohl im Chrome Web Store als auch im Firefox Add-ons Store eingereicht, und mehrere wurden zugelassen. Sie testeten neun Erweiterungstypen, darunter Cookie-Diebstahl, Keylogging, Screenshot-Erfassung, Verfolgung des Browserverlaufs, Kameraaktivierung, Ad-Injection und Zugriff auf den Gmail-Posteingang. Firefox ließ fast alles durch, besonders wenn bösartiges Verhalten in etwas gebündelt war, das sich als Produktivitätstool bezeichnete.
Erweiterungen können auch stillschweigend gekauft und verkauft werden. The Great Suspender ist die kanonische Geschichte eines schiefgelaufenen Eigentümerwechsels. Es war eine beliebte, weit verbreitete Tab-Management-Erweiterung. Der Autor, erschöpft von jahrelanger unbezahlter Wartung der Erweiterung, verkaufte sie an jemand anderen (die klassische Geschichte von unterbewerteten Maintainern). Der neue Eigentümer veröffentlichte Updates, die Tracking und Ad-Injection einführten. Als Forschende das neue Verhalten meldeten, war es bereits seit Wochen auf Millionen von Browsern installiert.
Welche Cyberangriffe involvieren Browser-Erweiterungen?
Browser-Erweiterungen waren in den letzten Jahren an einigen größeren Angriffen beteiligt. Einige enthielten bösartige Payloads, andere wurden einfach kompromittiert.
Nehmen wir die Vercel-Datenpanne Anfang dieses Jahres. Ein Vercel-Mitarbeiter hatte zuvor die Chrome-Erweiterung von Context.ai installiert und ihr OAuth-Zugriff auf seinen Google Workspace gewährt. Anschließend installierte ein Mitarbeiter von Context.ai Malware und kompromittierte deren Konten. Die Malware stahl Anmeldeinformationen und OAuth-Tokens, die im Backend von Context.ai gespeichert waren, einschließlich des Vercel OAuth-Tokens, dann nutzte der Angreifer den Token, um in die internen Systeme von Vercel einzudringen.
Obwohl hier auch andere unsichere Praktiken eine Rolle spielen, wie das Nicht-Überprüfen und Widerrufen von übermäßig mächtigen und lang bestehenden OAuth-Autorisierungen und Umgebungsvariablen, die als sensibel hätten markiert werden sollen, war die Chrome-Erweiterung der Einstiegspunkt. Die Erweiterung selbst war nicht bösartig, aber sie hatte Zugriff auf sensible Daten und wurde kompromittiert.
Die Cyberhaven-Datenpanne Ende 2024 ist eine Geschichte, wie eine Erweiterung zu Malware wurde, wobei die Chrome-Erweiterung von Cyberhaven über einen Phishing-Angriff auf ein Entwickelnden-Konto kompromittiert wurde. Ein bösartiges Update wurde an alle Benutzer verteilt und war 24 Stunden lang aktiv, bevor es jemand bemerkte.
In beiden Fällen war der Zugriff auf Browser-Erweiterungen der erste Schritt, der alles Weitere ermöglichte.
Warum Sicherheitskontrollen für Browser-Erweiterungen versagen
Viele Organisationen haben keine formelle Richtlinie für Erweiterungen. Diejenigen, die eine haben, versuchen oft, entweder alles zu blockieren (was Entwickelnde und technisch versierte Personen einfach umgehen) oder verlassen sich auf eine manuell gepflegte Allowlist, die immer etwas veraltet ist.
Die Pflege und Aktualisierung dieser Liste birgt offensichtliche Hürden. Etwa die Hälfte der Erweiterungsautoren ist unbekannt und wird nur mit einer Gmail-Adresse validiert, und 4 von 5 Publishern haben nur eine Erweiterung. Daher funktioniert die Verwaltung von Erweiterungen basierend auf dem Ruf nur für einen kleinen Teil der Erweiterungen, und selbst große Unternehmen veröffentlichen Erweiterungen, die nicht ganz sauber sind.
Forschende entdeckten im Rahmen eines anonymen Forschungsberichts 287 Erweiterungen mit insgesamt 37,4 Millionen Installationen, die den Browserverlauf exfiltrierten. Die einzige Möglichkeit, dies zu erkennen, war eine verhaltensbasierte Traffic-Analyse, sodass ein bloßes Lesen der Beschreibungen sie nicht erkannt hätte. Viele der betroffenen Erweiterungen waren bekannte Namen.
Ganz zu schweigen davon, dass sich Erweiterungen stillschweigend aktualisieren oder den Besitzer wechseln können. Es ist unmöglich, mit einem manuellen Überprüfungsprozess von Erweiterungen auf dem Laufenden zu bleiben.
Wie man Browser-Erweiterungen sichert
Browser-Erweiterungen sind aufgrund ihrer Funktionsweise mit einem recht hohen Risiko verbunden, aber es gibt dennoch Wege, ihre Nutzung sicherer zu gestalten, ohne sie komplett zu verbannen.
Auf individueller Ebene gibt es einige einfache Vorsichtsmaßnahmen zu treffen:
- Überprüfen Sie, welche Erweiterungen derzeit in Ihrem Browser installiert sind, und prüfen Sie deren Berechtigungen. Erweiterungen können sich im Laufe der Zeit ändern, ohne Sie darüber zu informieren, daher ist es ratsam, Erweiterungen zu überprüfen, die Sie vor Jahren installiert und seitdem nicht mehr beachtet haben.
- Deinstallieren Sie Erweiterungen, die Sie nicht benötigen oder die übermäßig weitreichende Berechtigungen haben. Eine Erweiterung, die Zugriff auf alle Websites benötigt, um Tabellen zu formatieren, sollte zumindest misstrauisch machen. Sie können auf der Kontoberechtigungsseite Ihres Google-Kontos überprüfen, welche Anwendungen, einschließlich Erweiterungen, Zugriff darauf haben.
- Verzichten Sie auf die Installation von Erweiterungen, die zu viele Berechtigungen anfordern. Seien Sie skeptisch gegenüber Erweiterungen mit weitreichenden Berechtigungen von kleinen oder unbekannten Publishern.
- Browserprofile können sensible Arbeiten vom allgemeinen Surfen isolieren, was den Blast Radius begrenzt, falls etwas schiefgeht. Halten Sie Ihre Arbeit von Ihrem persönlichen Browserprofil getrennt.
- Behandeln Sie die Installation von Erweiterungen mit der gleichen Sorgfalt, die Sie einer npm-Abhängigkeit entgegenbringen würden. Recherchieren Sie gründlich.
Das Obige funktioniert gut für Ihren persönlichen Computer oder ein kleines Team, aber das skaliert nicht wirklich, noch ist es möglich, dies unternehmensweit durchzusetzen. Auf Organisationsebene sehen die funktionierenden Systeme so aus:
- Blockierung vor der Installation basierend auf einem Live-Feed für Bedrohungsaufklärung statt einer statischen Liste, die manuell aktualisiert wird
- Erweiterungen kontinuierlich scannen, damit Verhaltensänderungen schnell erkannt werden
- Unternehmensweite Transparenz, damit Sie wissen, was installiert ist, bevor etwas schiefgeht
- Richtlinien, die berücksichtigen, dass Engineering, Vertrieb und Finanzen unterschiedliche Risikoprofile und Bedürfnisse haben
- Alle über Best Practices für Einzelpersonen aufklären, indem Blogs wie diese geteilt und Sicherheitsschulungen implementiert werden (Riot hat ein gutes Produkt dafür).
Nicht alle Geräteverwaltungstools unterstützen diese Art des Browser-Erweiterungsmanagements, daher müssen Sie die Funktionen Ihres MDM-Tools überprüfen, um festzustellen, ob es diese abdeckt.
Aikido Endpoint ist eine Lösung, die für dieses Modell der Browser-Erweiterungssicherheit funktioniert. Es ist ein leichtgewichtiger Agent, der für die Angriffsfläche von Entwickelnden-Geräten entwickelt wurde und diese Bereiche abdeckt. Es blockiert bekannte bösartige Erweiterungen, bevor sie installiert werden, setzt eine 48-stündige Sperre für neu veröffentlichte Erweiterungen durch und bietet Sicherheitsteams Transparenz darüber, was auf jedem Gerät von Entwickelnden installiert ist, mit Richtlinienkontrollen auf Teamebene und einem Genehmigungsworkflow, der Entwickelnde nicht blockiert. Die Abdeckung erstreckt sich über Browser-Erweiterungen hinaus auf npm, PyPI, IDE-Erweiterungen und AI-Agent-Marktplätze.
Stoppen Sie den nächsten Browser-Erweiterungsangriff
Der Vercel-Angriff wird nicht der letzte Vorfall sein, bei dem Browser-Erweiterungen Teil der Kill Chain sind. Die Angriffsfläche ist einfach zu wertvoll, daher müssen sowohl Einzelpersonen als auch Unternehmen vorbereitet sein.
Die gleiche Sorgfalt, die auf Open-Source-Abhängigkeiten angewendet wird, gehört auch hierher, und Organisationen, die dies so handhaben, werden in einer wesentlich besseren Position sein als diejenigen, die auf einen Vorfall warten, um die Diskussion zu erzwingen.
Erfahren Sie mehr über Aikido Endpoint oder erkunden Sie den Aikido Intel Feed, um zu sehen, was in Echtzeit in den Open-Source-Ökosystemen entdeckt wurde.
{{cta}}
FAQ
Was macht Browser-Erweiterungen zu einem Sicherheitsrisiko?
Browser-Erweiterungen laufen im Browser-Prozess selbst und können bei der Installation weitreichende Berechtigungen anfordern. Eine Erweiterung mit Zugriff auf alle Websites kann Seiteninhalte lesen, Netzwerkanfragen abfangen und auf authentifizierte Sitzungen zugreifen, die alle Ihre Aktivitäten im Browser umfassen. Dazu gehören interne Tools, Cloud-Konsolen und alle Anmeldeinformationen oder Token, die über eine Seite übertragen werden. Das Berechtigungsmodell ist von Natur aus mächtig, und genau diese Macht macht Erweiterungen für Angreifer attraktiv.
Kann eine Browser-Erweiterung meine Passwörter stehlen?
Nicht immer direkt, aber oft effektiv. Erweiterungen können den verschlüsselten Tresor eines Passwort-Managers nicht knacken, aber das müssen sie auch nicht. Mit den richtigen Host-Berechtigungen und Content-Script-Injektionen kann eine Erweiterung Autofill-Ereignisse abfangen und Formularfeldwerte vor dem Absenden lesen. Wenn Anmeldeinformationen zu irgendeinem Zeitpunkt im Klartext im HTML-Quellcode erscheinen, kann eine Erweiterung mit Content-Script-Zugriff diese lesen. Eine ausreichend privilegierte bösartige Erweiterung kann Anmeldeinformationen erfassen, während Sie sie eingeben.
Werden Browser-Erweiterungen automatisch aktualisiert?
Ja, und das ohne Ihre Zustimmung einzuholen! Im Gegensatz zu den meisten Programmen, die Sie zur Genehmigung eines Updates auffordern, aktualisieren sich Browser-Erweiterungen stillschweigend im Hintergrund. Die einzige Ausnahme ist, wenn ein Update zusätzliche Berechtigungen anfordert, die über die ursprünglich gewährten hinausgehen. Eine saubere Erweiterung, die heute Nacht ein bösartiges Update erhält, wird dieses Update automatisch an jeden Benutzer weitergeben. Sie hätten keine Möglichkeit, dies zu erfahren, es sei denn, Sie würden das Verhalten der Erweiterung aktiv überwachen.
Wie erkenne ich, ob eine Browser-Erweiterung sicher zu installieren ist?
Es gibt kein einziges zuverlässiges Signal, aber es gibt ein paar Dinge, die Sie überprüfen können. Prüfen Sie, welche Berechtigungen die Erweiterung anfordert und ob diese dem entsprechen, was die Erweiterung tatsächlich tun muss. Überprüfen Sie, ob der Herausgeber bekannt ist. Im Zweifelsfall behandeln Sie die Entscheidung so, als würden Sie eine unbekannte Abhängigkeit zu einer Produktions-Codebasis hinzufügen.
Warum erkennt Endpoint Detection keine bösartigen Browser-Erweiterungsaktivitäten?
Die meisten Endpoint Detection and Response Tools übersehen Bedrohungen durch Browser-Erweiterungen, weil alles, was eine bösartige Erweiterung tut, so aussieht, als würde Chrome normale Chrome-Aktivitäten ausführen. Die Netzwerkanfragen und der DOM-Zugriff erfolgen innerhalb des Browser-Prozesses und sind auf Systemebene nicht von legitimen Browser-Aktivitäten zu unterscheiden.
Wie verwalte ich die Sicherheit von Browser-Erweiterungen?
Organisationen sollten verhaltensbasierte Kontrollen gegenüber identitätsbasierten Kontrollen priorisieren. Das Führen einer manuellen Positivliste genehmigter Erweiterungen berücksichtigt keine stillen Updates oder Eigentumsübertragungen. Was funktioniert, ist eine Pre-Install-Blockierung gegen einen kontinuierlich aktualisierten Bedrohungsaufklärungs-Feed, eine fortlaufende Verhaltensüberwachung, damit Änderungen an bereits installierten Erweiterungen erkannt werden, und eine unternehmensweite Transparenz darüber, was tatsächlich auf allen Geräten installiert ist. Richtlinien müssen auch berücksichtigen, dass Engineering, Vertrieb und Finanzen unterschiedliche Risikoprofile und unterschiedliche Erweiterungsbedürfnisse haben.
Sind Chrome-Erweiterungen sicher? Chrome-Erweiterungen sind nicht von Natur aus unsicher, bergen aber systembedingt ein echtes Risiko. Das Berechtigungsmodell gewährt Erweiterungen weitreichenden Zugriff auf Browser-Aktivitäten, und der Überprüfungsprozess des Chrome Web Stores ist minimal. Eine Erweiterung, die zum Zeitpunkt der Installation unbedenklich erscheint, kann ein bösartiges Update erhalten, an einen neuen Eigentümer verkauft oder über das Konto ihres Entwickelnden kompromittiert werden. Ob sicher oder nicht, hängt stark von der jeweiligen Erweiterung, ihrem Herausgeber und den angeforderten Berechtigungen ab.
Können Unternehmen Browser-Erweiterungen überwachen? Die meisten Organisationen haben nur begrenzte Transparenz darüber, welche Erweiterungen in ihrer Flotte installiert sind und was diese Erweiterungen tun. MDM-Tools können Positivlisten durchsetzen, erfassen aber keine Verhaltensänderungen nach der Installation. EDR-Tools übersehen die meisten Erweiterungsaktivitäten, da diese auf Systemebene nicht von normalem Browser-Verhalten zu unterscheiden sind. Spezielle Tools, die auf dem Gerät installiert sind und Installationen mit einem aktuellen Bedrohungsaufklärungs-Feed abgleichen, sind der derzeit zuverlässigste Ansatz.
Wie hilft Aikido Endpoint bei der Browser-Sicherheit?
Aikido Endpoint ist auf dem Gerät installiert und prüft jede Erweiterungsinstallation, bevor sie stattfindet, indem es bekannte bösartige Erweiterungen automatisch anhand von Aikido Intel, einem kontinuierlich aktualisierten Bedrohungsaufklärungs-Feed, blockiert. Es erzwingt außerdem eine 48-Stunden-Blockierung für neu veröffentlichte Erweiterungen, da neue Bedrohungen in diesem Zeitraum am wahrscheinlichsten unentdeckt bleiben. Sicherheitsteams erhalten Transparenz darüber, was auf jedem Gerät der Entwickelnden installiert ist, mit teamweiten Richtlinienkontrollen und einem Genehmigungsworkflow, der die Entwickelnden nicht blockiert. Die Überwachung von Browser-Erweiterungen ist im kostenpflichtigen Tarif von Endpoint enthalten, zusammen mit der Abdeckung für npm, PyPI, IDE-Erweiterungen und AI-Agent-Marktplätze.
