Wer ein Add-On aus dem Chrome Web Store hinzufügt, bekommt es direkt installiert. Manchmal möchtet ihr aber lieber erst einen Blick auf den Quell-Code werfen – etwa aus Sicherheitsgründen oder um zu verstehen, wie die Erweiterung funktioniert. Dann ladet ihr die Erweiterung als Datei herunter und entpackt sie.
Besonders bei Erweiterungen von unbekannten Entwicklern oder solchen mit weitreichenden Berechtigungen ist es sinnvoll, den Code vorher zu prüfen. Schließlich haben Chrome-Extensions oft Zugriff auf alle eure Browserdaten.
Erweiterung aus dem Chrome Web Store herunterladen
Geht zunächst in den Chrome Web Store und findet das gewünschte Add-On. Nun kopiert die URL aus der Adressleiste eures Browsers. Diese URL enthält eine eindeutige ID der Erweiterung, die für den Download benötigt wird.
Anschließend geht zu einem Web-Tool wie diesem: https://chrome-extension-downloader.com/ und fügt dort die URL ein. Das Tool extrahiert automatisch die Erweiterungs-ID und lädt die entsprechende CRX-Datei herunter.
Alternativ könnt ihr auch andere Downloader verwenden wie „CRX Extractor/Downloader“ oder „Get CRX“. Diese funktionieren nach dem gleichen Prinzip: URL eingeben, Download starten.
CRX-Datei entpacken und analysieren
Nach dem Download habt ihr eine CRX-Datei auf der Festplatte. Das ist das gepackte Format für Chrome-Erweiterungen. Um an den Quellcode zu kommen, müsst ihr diese Datei entpacken.
Das klappt leider nicht mit jedem Standard-Entpacker, denn CRX-Dateien sind ZIP-Archive mit einem speziellen Signatur-Header vor den Nutzdaten. Die einfachste Lösung: Ändert die Dateiendung von „.crx“ auf „.zip“ und versucht dann, die Datei zu entpacken.
Falls das nicht funktioniert, könnt ihr spezialisierte Tools verwenden:
- 7-Zip: Kann CRX-Dateien direkt öffnen, ohne Umbennung
- WinRAR: Erkennt CRX-Dateien meist automatisch
- Online CRX Extractor: Web-basierte Tools, wenn ihr keine Software installieren wollt
Was ihr im entpackten Ordner findet
Nach dem Entpacken seht ihr die komplette Struktur der Erweiterung:
- manifest.json: Die wichtigste Datei – hier stehen alle Berechtigungen und Einstellungen
- background.js oder service_worker.js: Enthält die Hintergrundlogik
- content_scripts/: JavaScript-Dateien, die in Webseiten eingebettet werden
- popup/: HTML/CSS/JS für das Popup der Erweiterung
- icons/: Die verwendeten Symbole
Besonders die manifest.json solltet ihr euch genau anschauen. Hier stehen alle Berechtigungen, die die Erweiterung anfordert. Kritisch sind etwa:
- „tabs“: Zugriff auf alle offenen Tabs
- „activeTab“: Zugriff auf den aktuellen Tab
- „storage“: Kann Daten lokal speichern
- „“: Zugriff auf alle Webseiten
Sicherheitsaspekte beachten
Beim Durchstöbern des Codes solltet ihr auf verdächtige Funktionen achten:
- Unverschlüsselte Datenübertragung an unbekannte Server
- Sammlung von Passwörtern oder persönlichen Daten
- Manipulation von Webseiteninhalten
- Weiterleitungen auf fragwürdige Domains
Moderne Chrome-Erweiterungen verwenden übrigens Manifest V3 statt der älteren Version V2. Das bringt bessere Sicherheit, aber auch Einschränkungen für Entwickler.
Installation der entpackten Erweiterung
Wenn euch der Code vertrauenswürdig erscheint, könnt ihr die entpackte Erweiterung auch installieren. Geht dazu in Chrome zu „Weitere Tools“ > „Erweiterungen“, aktiviert den Entwicklermodus und klickt auf „Entpackte Erweiterung laden“.
So habt ihr die volle Kontrolle über den Code und könnt sogar eigene Anpassungen vornehmen. Das ist besonders für Entwickler interessant, die verstehen wollen, wie bestimmte Funktionen implementiert sind.
Fazit
Das Herunterladen und Entpacken von Chrome-Erweiterungen ist ein nützliches Verfahren für alle, die Wert auf Transparenz und Sicherheit legen. Mit wenigen Klicks könnt ihr jeden Erweiterungs-Code einsehen und selbst beurteilen, ob ihr der Software vertrauen wollt.
Zuletzt aktualisiert am 05.04.2026
