Eine Gruppe von Sicherheitsforschern der University of Wisconsin-Madison hat eine beunruhigende Entdeckung gemacht: Viele Chrome-Erweiterungen im Browser Google Chrome greifen auf sensible Nutzerdaten wie Passwörter zu, die im Klartext auf Webseiten gespeichert sind.
Die Wissenschaftler erklären, dass viele Websites Passwörter und andere vertrauliche Informationen ihrer Nutzer im Klartext auf der jeweiligen Seite speichern. Zwar erfolge dies nur lokal auf dem Gerät des Users. Allerdings könnten Chrome-Erweiterungen mit passenden Berechtigungen darauf zugreifen, da Chrome keinen Schutz vor solchen Zugriffen biete.
Fehlender Schutz lässt Passwörter auslesen
Um das zu belegen, haben die Forscher eine eigene Chrome-Erweiterung entwickelt, die sie unter dem Vorwand eines KI-basierten Assistenten in den Chrome Web Store einschleusen konnten. Von Google gab es keine Einwände, zur korrekten Funktionalität muss die Erweiterung natürlich auf Eingabefelder besuchter Websites zugreifen können.
Laut den Wissenschaftlern konnten sie so nachweisen, dass rund 17.300 Extensions die nötigen Rechte haben, um auf sensible Daten Zugriff zu haben, darunter auch beliebte Software wie Adblock Plus oder Honey. Rund 190 Erweiterungen würden sogar explizit auf Passwortfelder zugreifen.
Chrome-Entwickler schauen nicht tatenlos zu
Google hat gegenüber BleepingComputer erklärt, bereits eigene Untersuchungen eingeleitet zu haben. Allerdings sei der Zugriff an sich nicht problematisch, solange die Extension die Berechtigungen ordnungsgemäß abfrage. Die Forscher sehen das etwas kritiscer und warnen Chrome-Anwender vor potenziellem Datenklau durch Schad-Erweiterungen.