BSI warnt vor gefälschten Browser-Erweiterungen

Sicherheitsbehörden schlagen Alarm: Eine neue Welle gefälschter Browser-Erweiterungen zielt auf die Überwachung von Nutzern und den Diebstahl sensibler KI-Daten ab. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab zeitgleich eine dringende Warnung für Millionen Chrome- und Edge-Nutzer heraus. Besonders besorgniserregend sind die „GlassWorm“-Kampagne und das neue Phänomen des „Prompt Poaching“.

Diese Programme agieren nicht mehr als lästige Werbetools, sondern als vollwertige Spionagewerkzeuge. Sie lesen Passwörter mit, fangen Zwei-Faktor-Codes ab und überwachen Gespräche mit KI-Assistenten. Da sich Browser-Daten oft nahtlos mit Smartphones synchronisieren, ist auch die mobile Sicherheit unmittelbar gefährdet.

Da sich Browser-Daten oft mit dem Handy synchronisieren, übertragen sich Sicherheitslücken im Handumdrehen auf Ihr Smartphone. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und Co. mit einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

„GlassWorm“: Der getarnte Spion im Browser

Die Kampagne „GlassWorm“ nutzt täuschend echte Erweiterungen, die sich als offizielle Tools wie „Google Docs Offline“ tarnen. Laut Sicherheitsanalysten verbirgt sich dahinter ein mehrstufiges Framework, das den Fernzugriff auf das gesamte System ermöglichen kann.

Die Angreifer gehen äußerst subtil vor. Die Erweiterungen funktionieren zunächst wochenlang einwandfrei und sammeln positive Bewertungen. Erst nach einer Verzögerung aktiviert ein Update den bösartigen Code. Diese „Sleeper-Agenten“ erschweren die Entdeckung erheblich. Ist die Überwachung einmal aktiv, werden URLs, Formulardaten und sogar Screenshots an externe Server übertragen.

Prompt Poaching: Wenn die KI zum Spion wird

Ein völlig neues Bedrohungsszenario ist das „Prompt Poaching“. Cyberkriminelle haben entdeckt, dass Browser-Erweiterungen eine lukrative Datenquelle sein können. Sicherheitsforscher beobachteten dutzende Vorfälle, bei denen bösartige Add-ons gezielt Eingaben und Antworten in KI-Chats wie ChatGPT oder Claude abfangen.

In diesen Chats werden oft sensible Unternehmensinterna oder privater Code verarbeitet – der potenzielle Schaden ist immens. Tückisch: Viele dieser Erweiterungen werben offensiv mit Zugriff auf neueste KI-Modelle wie „GPT-5“, um Nutzer zu ködern. In Wirklichkeit dienen sie nur als Abhöreinrichtung.

Kritische Lücken: BSI drängt zu sofortigem Update

Flankierend zu den Kampagnen hat das BSI eine dringende Sicherheitswarnung aktualisiert. In den aktuellen Desktop-Versionen von Chrome und Edge wurden 26 Schwachstellen identifiziert, viele davon „hochriskant“. Diese Lücken ermöglichen es Angreifern, Schadcode direkt im Browser auszuführen.

Das BSI fordert alle Nutzer auf, ihre Browser umgehend auf Version 146.0.7680.153 oder höher zu aktualisieren. Die Dringlichkeit wird durch eine Anordnung der US-Behörde CISA unterstrichen, die eine Frist bis morgen für das Schließen einer spezifischen Zero-Day-Lücke setzte. Diese wird bereits aktiv ausgenutzt.

Mobile Geräte in Gefahr: Synchronisation als Einfallstor

Die Infektion beginnt meist am Desktop, trifft aber auch Smartphones hart. Durch die Konten-Synchronisation gelangen gestohlene Anmeldedaten sofort in die Hände der Angreifer. Diese erhalten damit Zugriff auf mobile Banking-Apps, soziale Netzwerke und Messenger.

Ein weiteres Risiko ist der Missbrauch von Berechtigungen. Viele schädliche Erweiterungen verlangen Zugriff auf die Zwischenablage. So können Einmal-Passwörter für die Zwei-Faktor-Authentifizierung abgefangen werden, noch bevor der Nutzer sie eingibt. Ein zentrales Sicherheitsmerkmal wird damit ausgehebelt.

Viele Android-Nutzer unterschätzen, wie leicht Hacker über synchronisierte Konten auf sensible Apps zugreifen können. Erfahren Sie in diesem kostenlosen Sicherheitspaket, wie Sie eine häufig unterschätzte Lücke schließen und Ihr Gerät spürbar sicherer machen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

So schützen Sie sich: Browser-Hygiene ist das A und O

Experten raten angesichts der komplexen Angriffe zu einer strikten „Hygiene-Strategie“. Da selbst der offizielle Chrome Web Store keinen hundertprozentigen Schutz bietet, sollten Nutzer diese Schritte unternehmen:

1. Bestandsaufnahme: Prüfen Sie alle installierten Erweiterungen kritisch. Löschen Sie Add-ons, die nicht täglich benötigt werden oder deren Herkunft unklar ist.
2. Berechtigungen prüfen: In den Browser-Einstellungen lässt sich einsehen, welche Erweiterung auf welche Daten zugreift. Ein einfaches Tool braucht keinen Zugriff auf „alle Webseiten-Daten“.
3. Updates forcieren: Suchen Sie manuell nach Browser-Updates über „Hilfe -> Über Google Chrome“, um kritische Patches sofort zu installieren.
4. 2FA via App nutzen: Verwenden Sie hardwarebasierte Sicherheitsschlüssel oder Authentifizierungs-Apps statt SMS-Codes. Diese sind für Browser-Malware schwerer abzufangen.
5. Separate Profile einrichten: Für sensibles Online-Banking oder Firmenzugriff sollte ein separates Browser-Profil ohne jegliche Erweiterungen genutzt werden.

Der Webbrowser ist zum primären Schlachtfeld für Spionage geworden. Für Privatnutzer bleibt Wachsamkeit das wichtigste Werkzeug: Blindes Vertrauen in Helfer-Tools aus dem Web-Store könnte den Verlust der digitalen Identität bedeuten.

boerse | 68999731 |