[English]Kurze Meldung für Nutzer des Diensts Firefox Send. Mozilla gibt Firefox Send jetzt endgültig auf und stellt diesen Dienst ein. Grund sind Missbrauch zur Malware-Verbreitung und zum Spear-Phishing.
Anzeige
Firefox Send, ein Rückblick
Zuerst ein Blick auf die Funktionalität von Firefox Send, die ich im Artikel Firefox Send: Große Dateien teilen kurz angerissen habe. Wer größere Dateien mit anderen Nutzern teilen möchte, kann dies nicht per E-Mail tun. Man kann die Dateien in die Cloud (Dropbox, OneDrive, Google Drive) hochladen und den Link versenden.
Mit der Seite Firefox Send stellten die Mozilla-Entwickler seit 2017 einen Dienst bereit, der sich ebenfalls zum Versenden größerer Dateien, bis zu 1 GByte Größe, eignete. Dazu reichte ein einfacher Browser (Firefox, Google Chrome, Internet Explorer). Beim Upload wurde die Datei verschlüsselt und ein Link wurde generiert. Diesen Link konnte man dem Empfänger zusenden.
Über den Link erhielt der Empfänger Zugriff auf die hochgeladene Datei und konnte diese herunterladen. Die hochgeladene Datei und der Link verfielen nach 24 Stunden oder nach einem Download. Was 2017 als Test startete wurde dann im März 2019 freigegeben (siehe meinen Blog-Beitrag Firefox Send). Aber nun ist wieder Schluss.
Anzeige
Firefox Send wurde eingestellt
Es ist das Ende einer längeren Geschichte. Denn der Zuschnitt dieses Diensts passte wunderbar zu den Anforderungen von Cyber-Kriminellen. Diese liebten Firefox Send, da sie durch die Verwendung von Firefox Send keinen eigenen File-Sharing-Server mit einer legitim aussehenden URL für Spear Phishing-Angriffe oder Malware-Verteilung einrichten müssen. Die Nutzer erhielten die Dateien von einer vertrauenswürdig erscheinenden Domain. Und die Kriminellen müssen sich nicht darum kümmern, dass ihre URLs nach der Verwendung automatisch ablaufen. Damit bleiben quasi keine Spuren in der Cloud zurück.
Für Sicherheitsforscher sind Links, die nur einmal funktionieren, ein Problem. Selbst wenn es einem Sicherheitsforscher gelingt, eine vollständige URL als Indikator für eine Kompromittierung zu erhalten, ist das wertlos. Man kann ja diese URL nicht mehr aufrufen und untersuchen, welchen böswilligen Ballast sie ausliefert – der Link ist nach dem Download ja verfallen.
Im Blog-Beitrag Ups: 'Firefox Send' nach Malware-Missbrauch offline hatte ich im Juli 2019 bereits berichtet, dass Mozilla den Dienst nach Missbrauch zur Verteilung von Malware und Spear-Phishing-Angriffen temporär ausgesetzt habe. Wer nun die Seite für Firefox Send aufruft, wird zu einer anderen Firefox-Seite umgeleitet. Mozilla bestätigt in diesem Blog-Beitrag, dass sowohl Firefox Send als auch Firefox Notes als Dienste endgültig eingestellt wurden. (via)
Firefox Notes wurde ursprünglich entwickelt, um mit neuen Methoden der verschlüsselten Datensynchronisation zu experimentieren. Nachdem dieser Zweck erfüllt war, wurde das Produkt als ein kleines Dienstprogramm für Firefox- und Android-Benutzer beibehalten. Anfang November wird Mozilla aber die Android Notes-App und den Synchronisierungsdienst außer Betrieb nehmen. Die Desktop-Browser-Erweiterung Firefox Notes wird für bestehende Installationen verfügbar bleiben, und Mozillas Entwickler wollen eine Option zum Export aller Notizen einbauen, die jedoch nicht mehr von Mozilla gewartet wird und nicht mehr installierbar sein wird.
Ähnliche Artikel:
Firefox Send
Firefox Send: Große Dateien teilen
Ups: 'Firefox Send' nach Malware-Missbrauch offline
Anzeige
Ja, schade, dass eigentlich gute Ideen durch Missbrauch kaputt gemacht werden. Aber es gibt ja Alternativen wie Dropbox/OneDrive/Google-Drive, da werden die Phisher auch noch drauf kommen, wie man da zeitgesteuert Dateien löschen kann… (ist wirklich ganz einfach…)
Es ist bedauerlich, dass ein Dienst wie Firefox Send, der eine einfache Möglichkeit zur Übertragung von Dateien bot, aufgrund von Missbrauch durch Cyberkriminelle eingestellt werden musste. Die Tatsache, dass die Kriminellen Firefox Send nutzen konnten, um Malware und Spear-Phishing-Angriffe zu verbreiten, ohne Spuren in der Cloud zu hinterlassen, war ein großes Sicherheitsrisiko.
Ich verstehe die Entscheidung von Mozilla, den Dienst endgültig einzustellen, um die Benutzer zu schützen. Ich nutze seitdem den Dienst von teile-dein-geheimnis.happyworx.de und das funktioniert auch super und ist kostenlos.
Grüße Michaela