Google und Microsoft entfernen die ModHeader-Erweiterung über verstecktem Tracking-Code

Die beiden führenden Technologieunternehmen haben schnell reagiert, um die Sicherheit der Internetnutzer zu gewährleisten, indem sie ein beliebtes Webtool aus ihren jeweiligen Stores entfernt haben. Dieses Dienstprogramm hat in der Vergangenheit über eine Million Webentwickler dabei unterstützt, ihre täglichen Webanfragen zu vereinfachen.

Einige Sicherheitsexperten haben jedoch das versteckte Überwachungsprogramm im Utility-Code aufgedeckt. Seine bloße Existenz stellte ein ernstes Datenschutzrisiko für Benutzer dar, auch ohne Betrieb.

Infolgedessen zogen beide Entwickler der Top-Online-Plattformen, Google und Microsoft, den Antrag zurück, um jegliche Überwachungsaktivitäten zu verhindern. Dieses Ereignis zeigt, dass selbst vertrauenswürdige und bekannte Programme eine große Gefahr bergen können.

Der verbotene Software-Helfer firmierte unter dem kommerziellen Markennamen ModHeader. Jahrelang nutzten Webentwickler diese Erweiterung, um die versteckten Datenetiketten zu optimieren, die Browser an Websites senden. Dadurch gewann das Tool eine große treue Anhängerschaft in der Programmier-Community.

Laut Tracking-Aufzeichnungen gibt es rund 1,6 Millionen aktive Installationen der Anwendung auf verschiedenen Plattformen. Während allein mehr als 900.000 der Installationen auf Google Chrome erfolgen, entschieden sich rund 700.000 Nutzer dafür im Microsoft Edge-Browser.

Um diese Benutzer zu schützen, hat Microsoft am 3. Juli die Edge-Version entfernt. Ebenso hat Google am 10. Juli die Chrome-Liste entfernt. Eine spezialisierte Computersicherheitsgruppe benanntStripe OLT entdecktdie versteckte Bedrohung nach Überprüfung der offiziellen Store-Dateien.

Darüber hinaus ergab ihre Analyse, dass der Schadcode in der echten, verifizierten Version der Software vorhanden war. Die Sicherheit des Browsers ist ein wiederkehrendes Problem.Microsoft hat vor einem schwerwiegenden Edge-Fehler gewarntermöglicht die Remote-Codeausführung. Das gefährliche Update stammte also nicht von einer gefälschten Kopie.

Sobald das Programm auf einem Computer aktiv ist, erstellt es stillschweigend einen einzigartigen digitalen Fingerabdruck des Computers. Als nächstes überwacht es jede einzelne Webseite, die der Benutzer öffnet.

Das Tool verschlüsselt dann diese Website-Namen und speichert sie lokal auf der Festplatte. Glücklicherweise blieb die integrierte Tracking-Pipeline inaktiv, da ihre interne Zielliste völlig leer war.

Dennoch hätte ein kleines Software-Update das System ohne Zustimmung des Benutzers sofort aktivieren können. Der offizielle Google Chrome Web Store hostete das Programm zuvor als äußerst vertrauenswürdiges und verifiziertes Dienstprogramm. Diese Überprüfung zeigt, dass Standard-Geschäftsausweise nicht immer eine kontinuierliche Sicherheit gewährleisten können.

Wie der geheime Tracker automatische Sicherheitsscanner umging und seinen wahren Zweck verbarg

Die Ersteller des Tracking-Codes nutzten einige ausgeklügelte Methoden, um ihn vor automatisierten Sicherheitsscannern zu verbergen. Eine Methode bestand darin, die Hintergrundskripte stark zu verschleiern, sodass das System fast wie eine normale und hochentwickelte Software wirkte.

Außerdem war aufgrund des Codes die primäre Tracking-Leitung ausgeschaltet. Daher konnte die virtuelle Testumgebung nichts bezüglich des Codes nachverfolgen. Darüber hinaus wurde das Programm von automatisierten Schutzsystemen als äußerst sicher eingestuft, und einige Sicherheitsprüfer gaben dem System sogar eine Sicherheitsbewertung von 95 von 100.

Normalerweise sendet die Software ihre täglichen Berichte an eine Webdomäne namens stanfordstudies[.]com. Obwohl die Adresse offiziell klingt, hat sie keinerlei Bezug zur Stanford University. Stattdessen fungierte es als umfunktioniertes Deckblatt, das mit einem generischen Server verknüpft war.

Die Forscher verfolgten diese Zielserver und fanden mehrere schwache Signale, die auf einen chinesischsprachigen Betreiber hindeuteten. Sie haben jedoch keine bestimmte Hackergruppe offiziell benannt.

Um Ihr Unternehmen zu schützen, gibt die Cybersecurity and Infrastructure Security Agency Warnungen darüber heraus, wie sich Unternehmen vor kompromittierten Browsererweiterungen schützen können. Diese Warnungen sind ein Beweis für einen wachsenden Trend, bei dem Hacker Backend-Entwicklungstools nutzen, um traditionelle Unternehmensnetzwerkverteidigungen zu umgehen.

Darüber hinaus wurde die Software in der Vergangenheit kritisiert, weil sie vor drei Jahren unerwünschte Werbung in Suchergebnisse einfügte. Zu diesem Zeitpunkt wurde sie auf ein werbebasiertes Produkt umgestellt.

Dennoch heißt es auf der offiziellen Webseite, dass das Produkt keine privaten Daten über seine Benutzer sammelt. Diese falsche Werbung widerspricht direkt der Entdeckung des versteckten Codes zur Geschichtserfassung.

Wenn Sie diese Erweiterung derzeit installiert haben, müssen Sie sie sofort aus Ihrem Browser löschen; Dadurch werden die auf Ihrer Festplatte gespeicherten Tracking-Dateien gelöscht.

Außerdem ist es wichtig, die Browsereinstellungen zu überprüfen und sicherzustellen, dass die automatische Synchronisierung diese Erweiterung nicht neu installiert. Da die Erweiterung den gesamten Netzwerkverkehr speichern kann, müssen Sie auch alle während der Verwendung eingegebenen Passwörter ändern.

Hierzu zählen insbesondere geheime Schlüsselcodes, Web-Session-Tokens und Sicherheitscookies. Für Netzwerkadministratoren ist die Blockierung verdächtiger Domänen am zentralen Router eine gute Empfehlung.

Sie sollten auch Ihre Netzwerkprotokolle nach Verbindungen zu den bösartigen Webadressen durchsuchen. Die Sicherheitsexperten von Stripe OLT haben spezielle Suchskripte bereitgestellt, um Unternehmen bei der Suche nach dieser Bedrohung zu unterstützen.

Ein gesundes Maß an Vorsicht bei Browser-Add-ons bleibt Ihr bester Schutz gegen modernen digitalen Diebstahl. Dieser Fall beweist, dass auch gängige Werkzeuge regelmäßigen manuellen Sicherheitsüberprüfungen bedürfen. Überall ist eine hohe Wachsamkeit für die Internetsicherheit von entscheidender Bedeutung.