SecBoard
Zurück zur Übersicht

Google and Microsoft Pull ModHeader With 1.6 Million Installs After Dormant Collector Found

The Hacker News·
Originalartikel lesen bei The Hacker News

Google und Microsoft haben die beliebte Browser-Erweiterung ModHeader mit 1,6 Millionen Installationen aus ihren Stores entfernt. Forscher entdeckten einen versteckten, aber inaktiven Browserverlaufs-Sammler in der offiziellen Version. Nutzern wird dringend empfohlen, die Erweiterung umgehend zu deinstallieren.

Kurzfassung

Google und Microsoft haben die Browser-Erweiterung ModHeader mit 1,6 Millionen Installationen aus ihren Stores entfernt. Forscher entdeckten einen inaktiven Browserverlaufs-Sammler im Code der Erweiterung. Nutzern wird dringend empfohlen, die Erweiterung umgehend zu deinstallieren.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer, die die Browser-Erweiterung ModHeader installiert hatten.

Warum relevant

Obwohl der Datensammler inaktiv war, zeigt dieser Vorfall das Risiko, das von scheinbar harmlosen Browser-Erweiterungen ausgehen kann, selbst wenn sie weit verbreitet sind. Potenzielle Datenexfiltration oder -sammlung kann unbemerkt bleiben.

Realistisches Worst Case

Im schlimmsten Fall, wenn der Datensammler aktiviert worden wäre, hätte der Browserverlauf von 1,6 Millionen Nutzern ohne deren Wissen gesammelt und möglicherweise exfiltriert werden können.

Handlungsempfehlung

Deinstallieren Sie ModHeader sofort aus allen Browsern. Überprüfen Sie regelmäßig die Berechtigungen von Browser-Erweiterungen und entfernen Sie nicht benötigte oder verdächtige Erweiterungen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle installierten Browser-Erweiterungen in Ihrer Organisation auf das Vorhandensein von ModHeader und deinstallieren Sie es umgehend.
  • Führen Sie eine Bestandsaufnahme aller Browser-Erweiterungen durch, die in Ihrer Umgebung verwendet werden, und bewerten Sie deren Notwendigkeit und die angeforderten Berechtigungen.
  • Implementieren Sie Richtlinien zur Verwaltung von Browser-Erweiterungen, um die Installation von nicht genehmigten oder potenziell schädlichen Erweiterungen zu verhindern.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
CollectionT1119 Browser Session HijackingLowForscher entdeckten einen versteckten, aber inaktiven Browserverlaufs-Sammler
Defense EvasionT1564.001 Hide Artifacts: Hidden Files and DirectoriesLowversteckten, aber inaktiven Browserverlaufs-Sammler
Offene Punkte
  • Es ist unklar, ob der Datensammler jemals aktiv war oder Daten gesammelt hat.
  • Der genaue Mechanismus, wie der Datensammler aktiviert werden könnte, ist nicht spezifiziert.
  • Der Ursprung oder die Motivation für das Hinzufügen des Datensammlers ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?