Mozilla entfernt 23 obskure Firefox Add-Ons

MozillaDie Verantwortlichen von Mozilla haben die Woche 23 Firefox-Addons, die Benutzer ausspionierten und Daten an entfernte Server schickten oder obskuren Code und Verschleierungsfunktionen enthielten, von der Webseite für Firefox-Addons entfernt.


Anzeige

Zum Hintergrund

Diese Woche hatte ich über einen weiteren Fall berichtet (siehe Firefox-Addon Web Security übermittelt private Daten), wo die Firefox-Erweiterungen Web Security Nutzerdaten vom Browser abgreift und an einen Server des Addon-Entwicklers schickt. In diesem Fall war das Übermitteln der abgerufenen URLs erforderlich, da das Addons den Firefox-Nutzer vor gefährlichen Webseiten schützen sollte. Die aufgerufenen Webseiten wurden mit einer Datenbank des Addon-Anbieters abgeglichen.

Der Fall hatte aber eine gewisse Brisanz. So zeigten Untersuchungen, dass die Daten zwar verschlüsselt waren (die Entschlüsselungsmethode ist bekannt), aber über eine http-Verbindung unverschlüsselt durch das Internet zum Server des Anbieters übertragen wurden. Mozilla hatte das Addon sogar kurze Zeit empfohlen, dann aber auf Grund des Medienechos auf die Enthüllungen des deutschen Blogs von Mike Kuketz zurückgezogen. Generell ist es keine gute Idee, Surfdaten an einen Anbieter weiter zu geben, da es anonyme Daten im Grunde kaum gibt.

Mozilla reagiert und säubert das Addon-Repository

Gegenüber Bleeping Computer hat Mozilla-Ingenieur Rob Wu mitgeteilt, dass man 23 Addons nach einem Review aus dem Mozilla-Repository (addons.mozilla.org AMO)entfernt habe. “Das erwähnte Add-on [gemeint ist Web Security] wurde zusammen mit anderen entfernt, nachdem ich eine gründliche Prüfung der Add-ons durchgeführt hatte”, schreib der Mozilla Browser Engineer und Add-on-Reviewer Rob Wu, in einer E-Mail an Bleeping Computer.

Diese Aktion ging wohl auf den reddit.com-Beitrag von Raymond Hill (Gorhill), Entwickler des Addons uBlock Origin zurück, dürfte aber durch die Berichterstattung von Bleeping Computer befeuert worden sein. Zitat von Wu:

“Ich führte die Untersuchung letztes Wochenende freiwillig durch, nachdem ich den Kommentar von Raymond Hill (Gorhill) auf Reddit gesehen hatte. Ich habe den Quellcode der Erweiterung überprüft, unter Verwendung von Tools, einschließlich meines Erweiterungs-Source-Viewers.”

Bei der Überprüfung der Addons fand er 20 kritische Exemplare, die er genauer inspizierte. “Die erste Gruppe Addons ähnelte Web Security. Bei der Installation wird eine Anfrage an einen entfernten Server gesendet, um die URL eines anderen Servers zu holen. Wenn ein Benutzer zu einem anderen Ort navigiert, wird die URL der Registerkarte an diesen Remote-Server gesendet. Dies ist nicht nur eine Fire-and-Forget-Anfrage; Antworten in einem bestimmten Format können die RCE-Funktionalität (Remote Code Execution) aktivieren”, so Wu. “Glücklicherweise haben die Autoren der Erweiterung einen Implementierungsfehler in 7 von 10 Erweiterungen (einschließlich Web Security) gemacht, der RCE daran hindert, zu funktionieren.”

“Die zweite Gruppe sammelt die URLs der geöffneten Tab nicht auf die gleiche Weise wie die erste Gruppe. Aber sie ist in der Lage, entfernten Code auszuführen (was einen schlechteren Effekt hat). Die Addons der zweiten Gruppe scheinen wie eine weiterentwickelte Version der ersten Gruppe zu sein. Denn es wurde die gleiche Logik für Remote Cede Execution (RCE) verwendet, wobei mehr mit Verschleierung als in der anderen Gruppe gearbeitet wurde,” so Wu.

Der Entwickler schreibt weiterhin an Bleeping Computer: “Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wird, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ mich wenig Zweifel an den Absichten des jeweiligen Autors aufkommen: Es ist offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken.”


Anzeige

Am Ende des Tages hat Wu seine Entwicklerkollegen informiert, die dann die Addons aus dem Repository entfernt haben. Dass das Addon Web Security entfernt wurde, darauf hatte bereits ein Blog-Leser in diesem Kommentar hingewiesen. Neben diesem Addon wurden noch weitere 22 Addons, die Daten des Nutzers abziehen oder undurchsichtigen Code aufweisen, aus dem Firefox Addon-Repository entfernt.

Ähnliche Artikel:
Firefox-Addon Web Security übermittelt private Daten
Firefox Addon Stylish ist zurück ….
Mozillas Firefox DNS-Sündenfall …


Anzeige
Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Mozilla entfernt 23 obskure Firefox Add-Ons


  1. Anzeige
  2. Guido sagt:

    Vielen Dank für diesen sehr informativen Beitrag. Schön zu lesen, dass Mozilla jetzt ausmistet …

    • Dear Hunter sagt:

      dem kann ich nur zustimmen.

      und an @webmaster

      zitat anfang:

      “…zum tracken wählen, wird ein cookie mit betreffendenden infos für ein jahr im browser gespeichert…”

      :zitat ende

      welche infos denn?

      *g

      • Guido sagt:

        @Dear Hunter: Was ist das eigentlich für ein merkwürdiger Link, eine merkwürdige Seite, zu der ich gelange, wenn ich hier deinen Namen anklicke. Fand die Meldung, die ich da in engl. zu lesen bekam, als ich hier deinen Namen angeklickt habe gar nicht lustig …Er könnte verunsichern. Sollte Herr Born mal schauen, ob es so etwas in seinem Blog duldet.

        • formul ars sagt:

          “Error 503 : Service Temporarily Unavailable”
          bedeutet temporär nicht verfügbar/erreichbar.
          so what?!
          => der betreffende Rechner ist aus zB. wg. Wartung und/oder falsch konfiguriert. Kommt andauernd vor. Was ist daran ungewöhnlich? Ist ein html-Standard-Statuscode, = eine Info des angefragten Servers. Was genau wäre daran jetzt verunsichernd?

        • Günter Born sagt:

          Nun ja, seine Eulenspiegel-Seite verursacht zwar Augenkrätze. Aber ich habe (bei der Kontrolle des Links) nix gesehen, wo ich sagen würde: Site blocken. Falls euch was auffällt, bitte Kommentar.

          Ergänzend: Wegen der Diskussion hier habe ich den Link rausgenommen. Sollte er erneut gepostet werden, mache ich vom Hausrecht Gebrauch und Sperre den Namen.

        • axt sagt:

          Guido, mach Dich fürderhin zuerst kundig, eh Du solchen fachlichen Unsinn äußerst!

          https://de.wikipedia.org/wiki/HTTP-Statuscode

          …und im Moment gibt’s 403.

          • Guido sagt:

            Fachlicher Unsinn? Bei mir erschien keine 403 sondern ein englischer Text als Warnmeldung. Jetzt sieht man dort eine Smileys. Absoluter Kindergarten zudem scheint der Nutzer: Der Hunter die Links ständig zu verändern was die Sache leider nicht besser macht.

          • Guido sagt:

            Fachlicher Unsinn? Danke für die Belehrung. Als ich den Link öffnete erschien dort noch eine Warnmeldung auf Englisch. Klar war das eine ironische Fakemeldung. Jetzt hat Dear Hunter wohl den Link verändert und es erscheint eine Smiley Seite.

        • Ralf Lindemann sagt:

          Warum blocken? Zum Lesen kommt man ohnehin nicht. Die animierte Smiley-Armee, die die Website bevölkert, entfaltet eine hypnotische Wirkung und lenkt vom Inhalt erfolgreich ab … ;-)

          • Guido sagt:

            Als ich den Link öffnete stand dort noch ein Warntext auf englisch bezüglich ihr System ist zerstört worden …
            Klar war das eine “ironische” Fakemeldung” aber wer braucht so etwas.

            Jetzt sind dort Smileys zu sehen. Die Meldung die ich gesehen hatte ist verschwunden. Mal ehrlich, so etwas brauche ich nicht.
            Unseriös und dumpf.

          • Ralf Lindemann sagt:

            Echt, eine Warnmeldung? Bei mir wird die nicht angezeigt. Liegt wahrscheinlich an der Browserkonfiguration. Die Seite selbst ist (lt. virustotal) clean. Du hast aber recht, man braucht so etwas nicht wirklich. Einen handfesten Grund, die etwas eigenartige & schräge Seite zu blocken, gibt es aber auch nicht – zumal die Kommentare den Link jetzt eingeordnet haben.

        • Dear Hunter sagt:

          @all die die 403 warning, resp. zweimal 503 und zuletzt 302 serviert bekamen.

          zitat anfang:
          “The action you attempted is considered to be hostile to the proper functioning of this system.

          Please either
          1. Stop the bad behavior, or
          2. Cease accessing this system.”

          :zitat ende.

          zur erläuterung:

          die 403 sagt nur dass die schilde sich bedroht fühlen, dies wird z. b. bei verwendung einer nicht aktuellen browserversion angestossen, oder addons die von user/In “mitgeschleppt” werden.

          in der version vor dem 05/19/2018 wurde anschliessend genauer erläutert weswegen die schilde hochgefahren wurden.

          dies wird bis zur klärung durch meine RA’s in bezug auf die dsgvo momentan ausgesetzt.

          zu den smileys:
          ich mag sie.

          Dear Hunter.

  3. Robert sagt:

    Gibt es denn vielleicht eine Liste mit den gesperrten Add-ons?

  4. Anzeige

  5. Andreas sagt:

    Es heißt zwar immer, dass Mozilla die AddOns vor der Veröffentlichung prüft, aber hier hat sich gezeigt, was ich schon länger befürchtet habe: Damit bei dieser Prüfung verdächtiger Code gefunden wird, muss der Prüfer einiges an Arbeit investieren und schon vorher ungefähr wissen, nach was er suchen soll.

    Wer weiß, was da sonst noch im AddOn-Repository von Mozilla schlummert…

  6. RUTZ-AhA sagt:

    Der Verdacht liegt schon nahe, dass Mozilla nicht so genau hinsieht. Jedes zugelassene Add On auf AMO zieht wieder zusätzliche Nutzer an. Und davon hat Mozilla schon zu viele verprellt, der Grund für ihren schlechter werdenden Marktanteil.

  7. DiWÜ sagt:

    schöner Artikel, danke.

    Der von mir bisher benutzte Video Downloader ist auch darunter, er ist plötzlich nicht mehr in meinen FF-Add-ons vorhanden, ohne Kom­men­tar von Mozilla.
    Habe jetzt den Video DownloadHelper dafür installiert.
    Der neue ist jetzt ebenfalls, wie vorher schon der besagte Video Downloader, in meinen Add-ons deaktiviert, ich schalte ihn ein, wenn ich wirklich etwas von einer webside downloaden möchte!
    Viele Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.