Anzeige
Tech

Millionen Nutzer haben durch gefälschte AdBlocker Schadsoftware installiert

Ein Sicherheitsforscher hat im Chrome-Store mehrere Werbe-Blocker entdeckt, in denen sich gefährlicher Code versteckt. Nutzern empfiehlt er einen einfachen Trick, um sich vor den täuschend echten Fake-Programmen zu schützen.

von Kaleigh Rogers
20 April 2018, 9:50am

Bild: pixabay.com | geralt

Ein Sicherheitsforscher hat herausgefunden, dass Millionen Nutzer Schadsoftware auf ihre Computer geladen haben, als sie eigentlich nur einen AdBlocker installiert haben. Das ist besonders deshalb fies, weil die AdBlocker nicht nur dabei helfen, Werbung beim Surfen auszublenden, sondern so eigentlich auch vor Schadsoftware schützen, die sich als sogenanntes Malvertising in Werbebannern verstecken kann.

Im Webstore von Google Chrome werden verschiedene AdBlocker angeboten, die Werbung beim Surfen blockieren sollen. Viele der Browser-Erweiterungen stammen von seriösen, bekannten Herstellern, doch es gibt auch Programme, die den offiziellen Anbietern einfach nur extrem ähnlich sehen. Andrey Meshkov, der den Werbe-Blocker AdGuard mitentwickelt hat, wunderte sich über die vielen Kopien der etablierten Programme und nahm den Code genauer unter die Lupe: "Ich habe die Erweiterung heruntergeladen und mir angeschaut, welche Befehle das Programm sendet", sagte Meshkov gegenüber Motherboard. "Einige davon kamen mir verdächtig vor."

In der Erweiterung "AdRemover for Google Chrome", die zehn Millionen Mal heruntergeladen wurde, entdeckte Meshkov versteckten Code, der als harmloses Bild getarnt war. Die Schadsoftware ermöglicht es dem Programmentwickler, die Funktionalität des Programms ohne ein Update zu ändern – also ohne, dass der Nutzer es merkt. Allein das verstößt gegen die Richtlinien von Google.

Meshkov entdeckte noch weitere schadhafte AdBlocker-Fakes, die millionenfach heruntergeladen wurden, und schrieb darüber im Blog von AdGuard. Ein Google Sprecher hat gegenüber Motherboard bestätigt, dass diese gefährlichen Erweiterungen inzwischen aus dem Store entfernt wurden.

Screenshot von der schadhaften Erweiterung AdRemover im Chrome Store | Bild mit freundlicher Genehmigung von Andrey Meshkov

Obwohl Meshkov nicht sofort feststellen konnte, welches Ziel die schadhafte Browser-Erweiterung verfolgt, hält er es für sehr gefährlich, eine Verbindung zu einem unbekannten Server zu haben. Laut Meshkov könnten dem Nutzer auf diese Weise Websites anders angezeigt werden – und ihnen so wiederum Schadsoftware untergejubelt werden. Außerdem könnte die Erweiterung Nutzerdaten abfangen oder unbemerkt zusätzliche Erweiterungen installieren.

Hinter diesem harmlosen Bild versteckte sich der schadhafte Code | Bild mit freundlicher Genehmigung von Andrey Meshkov

Die Softwareentwicklerin Yan Zhu sagte gegenüber Motherboard, dass es nicht das erste Mal ist, dass Google Chrome fragwürdige Browser-Erweiterungen in seinem Store zulässt. Auch sie ist der Meinung, dass der versteckte Code schadhafte Aktivitäten durchführen könnte.

"Die Erweiterung könnte sich wahrscheinlich bei allen Anfragen und Befehlen, die von deinem Browser kommen, zwischenschalten. Sie kann aber nicht deine verschlüsselten Passwörter mitlesen, denn diese Berechtigung haben Browser-Erweiterungen nicht", sagte Zhu.


Ebenfalls auf Motherboard: Wie ein Google-Treffer einen Waffenhändler lahmlegte


Auch wenn Google die von Meshkov gemeldeten Browser-Erweiterungen entfernt hat, ist er der Meinung, dass der Store immer noch von verdächtigen, gefälschten Erweiterungen überschwemmt wird. Außerdem gab es auch Fälle, in denen ursprünglich seriöse Chrome-Erweiterungen von neuen Unternehmen aufgekauft wurden, die diese zu Schadsoftware umfunktionierten.

Adblock Plus ist einer der populärsten AdBlocker, den es auch als Chrome-Erweiterung gibt. Authentische Programme wie dieses versuchen die Fake-Erweiterungen zu imitieren und so Kunden zu gewinnen. Bild: Imago | Rüdiger Wölk

Wie können sich Nutzer also schützen, wenn die schadhaften Erweiterungen seriösen Programmen zum Verwechseln ähnlich sehen? Meshkov hat einen einfachen Tipp: Immer zuerst die Website des Entwicklers aufrufen und dort dem Link zum Store zu folgen, in dem man die Erweiterung herunterladen kann.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter