Google hat 32 schädliche Erweiterungen aus dem Chrome Web Store entfernt, die Suchergebnisse verändern und Spam oder unerwünschte Werbung schalten können. Insgesamt wurden sie 75 Millionen Mal heruntergeladen.
Die Erweiterungen wiesen legitime Funktionen auf, damit die Nutzer nichts von den Hintergrundaktivitäten Vehalten mitbekommen. Der Cybersecurity-Forscher Wladimir Palant analysierte die im Chrome Web Store erhältliche Erweiterung PDF Toolbox (2 Millionen Downloads) und stellte fest, dass sie Code enthielt, der als sogenannter legitimer API-Wrapper für Erweiterungen getarnt war.
In einem Bericht von Mitte Mai erklärt der Forscher, dass der Code es der Domain „serasearchtop[.]com“ ermöglichte, beliebigen JavaScript-Code in jede vom Benutzer besuchte Website einzuschleusen. Die Möglichkeiten des Missbrauchs reichen vom Einfügen von Werbung in Webseiten bis hin zum Diebstahl sensibler Daten. Dem Forscher fiel außerdem auf, dass der Code so eingestellt war, dass er 24 Stunden nach der Installation der Erweiterung aktiviert wurde.
Vor einigen Tagen veröffentlichte Palant einen weiteren Beitrag zu diesem Fall, in dem er darauf hinwies, dass er denselben verdächtigen Code in 18 weiteren Chrome-Erweiterungen mit einer Gesamtanzahl von 55 Millionen Downloads entdeckt hatte. Einige Beispiele sind:
- Autoskip für Youtube (9 Millionen aktive Nutzer)
- Soundboost (6,9 Millionen aktive Nutzer)
- Crystal Ad Block (6,8 Millionen aktive Nutzer)
- Brisk VPN (5,6 Millionen aktive Nutzer)
- Clipboard Helper (3,5 Millionen aktive Nutzer)
- Maxi Refresher (3,5 Millionen aktive Nutzer)