QuickLens Version 5.8 kompromittiert: Chrome-Erweiterung wird zur Malware-Schleuder

Tausende Nutzer setzten das Add-on QuickLens – Search Screen with Google Lens täglich ein, um Produkte zu suchen, Text aus Bildern zu erkennen oder Inhalte im Web schneller einzuordnen. Genau diese eigentlich harmlose Browser-Erweiterung entpuppte sich im Februar dieses Jahres als Einfallstor für Schadsoftware. Das Update auf Version 5.8 war ein klassischer Supply-Chain-Angriff: Angreifer kompromittierten eine etablierte Software, sodass sie Sicherheitsmechanismen im Browser umgehen und Skripte auf nahezu jeder besuchten Webseite einschleusen konnte. Ein Fall, der zeigt, wie schnell selbst vertrauenswürdige Browser-Erweiterungen zum Sicherheitsrisiko werden.

Was genau ist QuickLens?

Google Lens ist ein eigenständiger Dienst von Google, der Bilder analysiert und erkennt, was darauf zu sehen ist. QuickLens verpackt diesen Dienst in eine Browser-Erweiterung – du kannst direkt aus dem Browser heraus auf Google Lens zugreifen, ohne die Google-Webseite manuell zu öffnen oder Bilder separat hochzuladen.

Technisch erstellt die Erweiterung Screenshots oder Bildausschnitte und leitet sie automatisch an Google Lens weiter. Die Kernlogik von Google Lens selbst bleibt dabei unverändert.

Typische Features:

• Bild oder Bildschirmbereich markieren
• Screenshot erstellen
• Bild direkt mit Google Lens durchsuchen
• Produktsuche (z. B. bei Amazon)
• Bildanalyse aus YouTube-Frames oder Webseiten

Technisch funktionierte das so:

• Die Erweiterung fügt ein Context-Menü oder Overlay-Tool im Browser ein.
• Du markierst einen Bereich der Seite.
• Die Erweiterung erstellt daraus ein Bild.
• Dieses Bild wird an Google Lens geschickt.

Solche Erweiterungen brauchen deshalb relativ weitgehende Rechte – Zugriff auf Seiteninhalte, Tabs und Netzwerkrequests. Genau diese Rechte machen Browser-Extensions zum attraktiven Angriffsziel.

Kompromittierung durch Besitzerwechsel?

Anfang Februar 2026 verkaufte der ursprüngliche Entwickler QuickLens – der Eigentümer wechselte. Kurz darauf erschien Version 5.8: eine auf gefährliche Weise manipulierte Variante mit neuem Code.

Das Problem dahinter: Im Chrome Web Store bleibt bei einem Verkauf der Eintrag genau so bestehen wie zuvor – dieselbe Nutzerbasis, dieselben Bewertungen. Für dich als Endnutzer wirkt alles vertrauenswürdig.

Wenn der neue Eigentümer Updates veröffentlicht, installiert Chrome sie automatisch bei allen Nutzern. Im Fall der kompromittierten QuickLens-Version waren laut Analysen etwa 7.000 Nutzer betroffen.

Version 5.8: Eine Software-Supply-Chain-Attack

Die manipulierte Version brachte mehrere gefährliche Änderungen mit sich.

Nach dem Update verlangte die Erweiterung plötzlich zusätzliche, weitreichende Berechtigungen – womit sie den Netzwerkverkehr verändern, HTTP-Header manipulieren und Inhalte von Webseiten abändern konnte.

Der enthaltene Schadcode entfernte Schutzmechanismen von Webseiten wie Content-Security-Policy (CSP), X-Frame-Options oder X-XSS-Protection. Diese Header verhindern Script-Injection, Clickjacking und Cross-Site-Scripting. Fallen sie weg, lässt sich auf einer Seite beliebiger JavaScript-Code einschleusen.

Zusätzlich baute die Erweiterung eine Verbindung zu einem Command-and-Control-Server auf. Über eine eindeutige Nutzer-ID wurden Betriebssystem, Browser und Land erfasst – und der Server konnte jederzeit neue Befehle senden.

Der Schadcode konnte so auf jeder besuchten Webseite eigenen Code ausführen.

Das Angriffsziel: Kryptowallets & Plattform-Daten

Die Malware hatte mehrere konkrete Ziele. Sie suchte gezielt nach Daten aus Wallets wie MetaMask, Phantom und Coinbase Wallet – vor allem nach Seed-Phrases (dem Master-Schlüssel für Kryptowallets), Wallet-Adressen und Transaktionsdaten.

Weil der Code Formularfelder auslesen und Browser-Sessions abgreifen konnte, liessen sich Accounts übernehmen und Session-Cookies stehlen.

Weitere Analysen zeigen: Auch Daten von Gmail, dem Facebook Business Manager und einzelnen YouTube-Accounts wurden abgegriffen.

Google verbannt Erweiterung aus dem Web Store

Nachdem Sicherheitsforscher den Angriff auf QuickLens Version 5.8 aufgedeckt hatten, reagierte Google schnell: Die Erweiterung wurde aus dem Chrome Web Store entfernt, Chrome deaktivierte sie bei allen betroffenen Nutzern automatisch.

Wenn du die Erweiterung installiert hattest, solltest du jetzt folgende Schritte gehen:

1. QuickLens deinstallieren, damit kein weiterer Zugriff auf den Browser möglich ist.
2. Passwörter für alle wichtigen Online-Konten ändern – die Malware konnte Login-Daten auslesen.
3. Einen vollständigen Malware-Scan durchführen, um sicherzustellen, dass keine Schadsoftware zurückgeblieben ist.
4. Kryptowallets auf neue Konten übertragen, falls private Schlüssel kompromittiert wurden.

QuickLens 5.8 ist ein Lehrstück: Eine etablierte Erweiterung mit tausenden Nutzern, einem bekannten Namen und guten Bewertungen – und trotzdem wurde sie zur Malware-Schleuder. Der Verkauf eines Add-ons reicht aus, um die gesamte Nutzerbasis in Gefahr zu bringen.