Current state of browser extension security and extension-based malware

Abstract

Moderne Webbrowser bieten unterschiedliche Möglichkeiten, um den Browser über ein modulares Erweiterungssystem anzupassen und zu erweitern. Das Ausführen von fremdem Code erhöht jedoch das Risiko, dass Schadcode in den Browser des Benutzers eingeschleust wird. Da sich webbasierte Anwendungen heute steigender Beliebtheit erfreuen, steigt die Menge an sensiblen Daten, die in Webbrowsern verarbeitet wird, stetig an. Aufgrund ihrer Fähigkeit auf sensible Daten im Browser zuzugreifen und die verarbeiteten Seiten beliebig zu modifizieren, setzen Malware (engl. von malicious software, Schadsoftware) Entwickler unter anderem auf Browsererweiterungen, um aus ihren Opfern finanziellen Nutzen zu generieren. Um einen Überblick über aktuelle Sicherheitsmechanismen für Erweiterungen in modernen Webbrowsern zu erlangen, analysierten wir die Erweiterungssysteme der heute meist verwendeten Browser. Besonderes Augenmerk wurde auf die unterstützten Technologien, verwendete Sicherheitsmechanismen und Schutzmaßnahmen gegen Erweiterungen mit Schadcode gelegt. Basierend auf dieser Analyse und weiteren relevanten wissenschaftlichen Arbeiten identifizierten wir verschiedene Szenarien die darstellen, wie Erweiterungen genutzt werden können, um Schadcode im Browser auszuführen. Ein zusätzliches Ziel neben der Erarbeitung allgemeiner Bedrohungsszenarien war, zu analysieren, inwieweit Bedrohungen durch traditionelle Binär-Malware in Browsererweiterungen zur Erstellung plattformunabhängiger Malware nachgebildet werden können. Um die erarbeiteten Bedrohungsszenarien mit dem Verhalten tatsächlicher Malwareerweiterungen zu vergleichen, analysierten wir 38 Erweiterungen für Firefox, die seit Jänner 2013 aufgrund ihres bösartigen Verhaltens auf die Blockliste des Browsers gesetzt wurden. Desweiteren untersuchten wir die Malwareerweiterung CoinThief, die durch ihre komplexe Funktionalität mehrere Schutzmechanismen in Browsern mit restriktivem Erweiterungssystem umgehen kann. Wir zeigen in dieser Arbeit, dass Schadsoftware in Browsererweiterungen eine ernstzunehmende Bedrohung darstellt, die auch in Browsern mit dem Stand der Technik entsprechenden Schutzmechanismen nicht vollständig verhindert werden kann. Browsererweiterungen sollten mit der gleichen Vorsicht und Sorgfalt wie traditionelle Anwendungen behandelt werden und - wie diese - nur von vertrauenswürdigen Quellen installiert werden

In order to allow users to customize their web browser to their needs and to add additional functionality, all of today-s major web browsers implement a modular extension system. However, the execution of third party software in the browser increases the risk of malicious tasks being performed by extension code. The rising use of web-based applications for everyday tasks results in an increased amount of sensitive data being processed in the browser. Due to the ability to access sensitive data and modify web pages visited by the users for monetary gain, malware developers try to leverage browser extensions for malicious tasks. To get an overview of the current state of browser extension security in modern web browsers, we analyzed the extension systems of today-s most frequently used web browsers, particularly with regard to supported technologies, extension security mechanisms, and countermeasures against malicious extensions. Based on this analysis and related research, we identified multiple scenarios that allow browser extensions to perform malicious tasks inside and outside of the browser. Besides general malicious tasks performed by browser extensions, we additionally explored the possibilities of mimicking malicious behavior usually found in lower level malware using JavaScript-based browser extensions across multiple operating system platforms. To gather information about the current state of extension-based malware, we manually analyzed 38 extensions that have been added to the extension blocklist of Firefox since January 2013 due to their malicious behavior. In addition, we dissected the CoinThief malware extension, which highlights the ability to perform malicious tasks in web browsers with very restrictive extension systems, as well as the possibility to write malware extensions that are compatible with multiple browsers. We show that malicious extensions are a real threat, even in browsers with state of the art extension systems. Browser extensions should be treated with the same care as arbitrary executables and only be installed from trusted sources.