Cybersicherheitsforscher von SquareX haben eine neuartige Angriffsmethode namens Syncjacking identifiziert, die über scheinbar harmlose Chrome-Erweiterungen operiert. Diese Technik ermöglicht Angreifern weitreichende Kontrolle über kompromittierte Systeme, wobei besonders beunruhigend ist, dass die Attacken mit minimalen Berechtigungen auskommen und für Nutzer praktisch unsichtbar ablaufen.
Technische Details des Syncjacking-Angriffs
Der Angriff beginnt mit der Einrichtung einer manipulierten Google Workspace-Domäne durch den Angreifer. Innerhalb dieser Domäne werden spezielle Benutzerprofile ohne Zwei-Faktor-Authentifizierung konfiguriert. Die Täuschung erfolgt durch im Chrome Web Store platzierte Erweiterungen, die legitime Funktionalität vortäuschen, jedoch im Hintergrund bösartige Aktivitäten ausführen.
Automatisierte Profilsynchronisation als Angriffsvektor
Nach der Installation nutzt die Erweiterung ihre minimalen Berechtigungen, um versteckt ein präpariertes Google Workspace-Profil zu aktivieren. Durch geschickte Manipulation der Chrome-Synchronisationsfunktion erhält der Angreifer Zugriff auf sensitive Browserdaten, darunter:
– Gespeicherte Zugangsdaten und Passwörter
– Kompletter Browserverlauf
– Lesezeichen und weitere Browser-Informationen
Erweiterte Systemkompromittierung durch Native Messaging
Die Forscher dokumentierten, wie Angreifer nach erfolgreicher Profilübernahme das Chrome Native Messaging API missbrauchen können, um direkte Kommunikationskanäle zum Betriebssystem zu etablieren. Dies ermöglicht:
– Installation zusätzlicher Schadsoftware
– Ausführung beliebiger Systembefehle
– Keylogging-Funktionalität
– Zugriff auf Webcam und Mikrofon
– Extraktion vertraulicher Daten
Herausforderungen bei der Erkennung
Die Besonderheit von Syncjacking liegt in der außergewöhnlich schwierigen Nachweisbarkeit. Anders als klassische Social-Engineering-Attacken erfordert diese Methode minimale Nutzerinteraktion und hinterlässt kaum erkennbare Spuren im System.
Zum Schutz vor Syncjacking-Angriffen empfehlen Sicherheitsexperten die Implementation mehrschichtiger Sicherheitsmaßnahmen: Strikte Überprüfung aller Chrome-Erweiterungen vor der Installation, regelmäßige Durchsicht aktiver Erweiterungen, konsequente Nutzung der Zwei-Faktor-Authentifizierung für Google-Konten sowie erhöhte Aufmerksamkeit gegenüber neuen Browserprofilen. Bei verdächtigen Aktivitäten sollte umgehend der Google-Support kontaktiert werden.
