Ja, Browser-Erweiterungen können extrem gefährlich sein – und die meisten Nutzer unterschätzen das Risiko massiv. Eine bösartige Erweiterung kann alles sehen, was Du im Browser tust: Passwörter, Bankdaten, private Nachrichten. Und Dein Virenscanner bemerkt davon oft nichts.
Warum ist das so?
Browser-Erweiterungen sind kleine Programme, die direkt in Deinem Browser laufen. Damit sie funktionieren, brauchen sie Berechtigungen – und diese Berechtigungen sind oft erschreckend weitreichend. Eine typische Erweiterung, die "auf allen Webseiten" arbeiten darf, hat Zugriff auf:
- Alle Webseiten-Inhalte, die Du besuchst – einschließlich Online-Banking, E-Mail und soziale Netzwerke
- Formulardaten, die Du eingibst – Benutzernamen, Passwörter, Kreditkartennummern
- Cookies und Session-Tokens – damit kann die Erweiterung sich als Du ausgeben, ohne Dein Passwort zu kennen
- Deinen Browserverlauf – eine komplette Aufzeichnung Deines Online-Verhaltens
- Downloads – die Erweiterung kann Dateien herunterladen und ausführen
Das Heimtückische: Viele dieser Berechtigungen sind für die beworbene Funktion der Erweiterung gar nicht nötig. Ein Werbeblocker braucht Zugriff auf Webseiten-Inhalte – aber eine Erweiterung, die das Wetter anzeigt, braucht keinen Zugriff auf Deine E-Mails. Trotzdem fordern viele Erweiterungen pauschal maximale Berechtigungen an, und die meisten Nutzer klicken ohne nachzudenken auf "Zulassen".
Selbst der offizielle Chrome Web Store bietet keinen zuverlässigen Schutz. Google prüft Erweiterungen zwar, aber die Prüfung ist oberflächlich und automatisiert. Angreifer nutzen verschiedene Tricks:
- Verzögerter Schadcode: Die Erweiterung verhält sich bei der Prüfung harmlos und aktiviert ihre Schadfunktion erst nach einiger Zeit oder nach einem Update.
- Kauf beliebter Erweiterungen: Angreifer kaufen dem Entwickler einer beliebten, harmlosen Erweiterung seine Erweiterung ab. Dann schieben sie ein Update nach, das Schadcode enthält. Die hunderttausenden bestehenden Nutzer bekommen das Update automatisch.
- Nachahmung: Erweiterungen mit leicht veränderten Namen bekannter Tools ("AdBIock" statt "AdBlock") fangen ahnungslose Nutzer ein.
- Code-Verschleierung: Der Schadcode wird so verschleiert, dass die automatische Prüfung ihn nicht erkennt.
Virenscanner haben mit bösartigen Browser-Erweiterungen besondere Schwierigkeiten. Die Erweiterung ist technisch eine legitime Browser-Komponente, die über offizielle Schnittstellen (APIs) arbeitet. Der Virenscanner sieht nur, dass der Browser wie gewohnt mit dem Internet kommuniziert – dass eine Erweiterung dabei Deine Passwörter an einen Server in Russland schickt, kann er oft nicht erkennen.
Beispiele aus der Praxis
FacexWorm ist ein erschreckendes Beispiel dafür, wie gefährlich Browser-Erweiterungen sein können. Die Malware verbreitete sich über Facebook Messenger als harmlos aussehender Video-Link. Wer draufklickte, wurde aufgefordert, eine Chrome-Erweiterung zu installieren. Diese Erweiterung konnte dann: Kryptowährung stehlen, indem sie Wallet-Adressen auf Webseiten durch die der Angreifer ersetzte; Zugangsdaten von Google, MyMonero und Coinhive abgreifen; und sich über den Facebook Messenger an alle Kontakte des Opfers weiterverbreiten. Der Chrome Web Store entfernte FacexWorm zwar, aber die Angreifer luden immer wieder neue Varianten hoch.
Der RedLine Stealer nutzt zwar keine Browser-Erweiterung direkt, zeigt aber, wie wertvoll Browser-Daten für Angreifer sind. RedLine stiehlt gezielt gespeicherte Passwörter, Cookies und Autofill-Daten aus Browsern. Bösartige Erweiterungen haben es noch einfacher: Sie sitzen bereits im Browser und können diese Daten in Echtzeit mitlesen, ohne den Browser-Speicher von außen aufbrechen zu müssen.
Auch der Raccoon Stealer zeigt das Muster: Browser-Daten gehören zu den wertvollsten Zielen für Info-Stealer. Was ein externer Stealer mit Aufwand aus dem Browser extrahiert, kann eine bösartige Erweiterung bequem von innen heraus abgreifen.
Wie schützt Deep Freeze davor?
Deep Freeze entfernt bei jedem Neustart alle Änderungen am System – und dazu gehören auch nachträglich installierte Browser-Erweiterungen. Wenn Du oder jemand anderes (oder eine Malware) eine bösartige Erweiterung installiert, ist sie nach dem nächsten Neustart wieder verschwunden. Dein Browser kehrt in den sauberen Zustand zurück, in dem nur die von Dir bewusst ausgewählten, vertrauenswürdigen Erweiterungen installiert sind. Selbst wenn eine Erweiterung während einer Sitzung Daten stiehlt – beim nächsten Neustart sind alle Cookies und Session-Tokens zurückgesetzt, sodass gestohlene Sitzungsdaten wertlos werden.
Browser-Erweiterungen sind das unterschätzteste Sicherheitsrisiko im Alltag. Dein Virenscanner sieht sie oft nicht als Bedrohung, aber sie können alles mitlesen, was Du im Browser tust. Deep Freeze sorgt dafür, dass unerwünschte Erweiterungen bei jedem Neustart verschwinden – und damit auch ihr Zugriff auf Deine Daten.