Google and Microsoft Pull ModHeader With 1.6 Million Installs After Dormant Collector Found
Google und Microsoft haben die beliebte Browser-Erweiterung ModHeader mit 1,6 Millionen Installationen aus ihren Stores entfernt. Forscher entdeckten einen versteckten, aber inaktiven Browserverlaufs-Sammler in der offiziellen Version. Nutzern wird dringend empfohlen, die Erweiterung umgehend zu deinstallieren.
Google und Microsoft haben die Browser-Erweiterung ModHeader mit 1,6 Millionen Installationen aus ihren Stores entfernt. Forscher entdeckten einen inaktiven Browserverlaufs-Sammler im Code der Erweiterung. Nutzern wird dringend empfohlen, die Erweiterung umgehend zu deinstallieren.
Nutzer, die die Browser-Erweiterung ModHeader installiert hatten.
Obwohl der Datensammler inaktiv war, zeigt dieser Vorfall das Risiko, das von scheinbar harmlosen Browser-Erweiterungen ausgehen kann, selbst wenn sie weit verbreitet sind. Potenzielle Datenexfiltration oder -sammlung kann unbemerkt bleiben.
Im schlimmsten Fall, wenn der Datensammler aktiviert worden wäre, hätte der Browserverlauf von 1,6 Millionen Nutzern ohne deren Wissen gesammelt und möglicherweise exfiltriert werden können.
Deinstallieren Sie ModHeader sofort aus allen Browsern. Überprüfen Sie regelmäßig die Berechtigungen von Browser-Erweiterungen und entfernen Sie nicht benötigte oder verdächtige Erweiterungen.
- ▸Überprüfen Sie alle installierten Browser-Erweiterungen in Ihrer Organisation auf das Vorhandensein von ModHeader und deinstallieren Sie es umgehend.
- ▸Führen Sie eine Bestandsaufnahme aller Browser-Erweiterungen durch, die in Ihrer Umgebung verwendet werden, und bewerten Sie deren Notwendigkeit und die angeforderten Berechtigungen.
- ▸Implementieren Sie Richtlinien zur Verwaltung von Browser-Erweiterungen, um die Installation von nicht genehmigten oder potenziell schädlichen Erweiterungen zu verhindern.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Collection | T1119 Browser Session Hijacking | Low | Forscher entdeckten einen versteckten, aber inaktiven Browserverlaufs-Sammler |
| Defense Evasion | T1564.001 Hide Artifacts: Hidden Files and Directories | Low | versteckten, aber inaktiven Browserverlaufs-Sammler |
- Es ist unklar, ob der Datensammler jemals aktiv war oder Daten gesammelt hat.
- Der genaue Mechanismus, wie der Datensammler aktiviert werden könnte, ist nicht spezifiziert.
- Der Ursprung oder die Motivation für das Hinzufügen des Datensammlers ist nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Sind wir hiervon betroffen — und können wir es detektieren?