Datenklau: Browser-Extension Nano Adblocker/Defender & Co. entfernen

[English]Nutzer des Google Chrome-Browsers oder dessen Chromium-Abkömmlinge (Google Chrome, Edge etc.), sowie von Firefox und Safari, sollte schauen, ob die Erweiterungen Nano Adblocker oder Nano Defender sowie weitere Komponenten aus dem Nano-Projekt installiert sind. Falls ja, entfernt diese Erweiterungen, denn das Projekt wurde verkauft und die neuen (türkischen) Entwickler haben offensichtlich damit begonnen, Schadfunktionen, die Daten abziehen, zu integrieren. Ergänzung: Google hat die Extensions entfernt.


Anzeige

Ich gestehe, ich habe es verbaselt, denn ich hatte am 16.10.2020 bereits einen Hinweis der Kollegen von deskmoder.de gelesen und wollte es kurz hier mit aufnehmen – ist aber unter einem Berg Themen verschippt gegangen. Jetzt ist mir das Thema die Nacht an zwei Stellen wieder auf die Füße gefallen, weshalb ich es mal aufbereite.

Worum geht es bei den Nano-Extensions?

Es handelt sich bei Nano Adblocker und Nano Defender um Browser-Erweiterungen für Browser, die Adblocker- und Schutz-Funktionen versprechen. Beide Erweiterung setzen auf dem sogenannten nano-Core auf, der Funktionen von uBlock Origin enthält. In den Readme-Dateien ist von ‘upstream’ die Rede, mit dem man den Code teile, wobei upstream auf die GitHub-Seite von uBlock Origin verlinkt, einem Projekt des Entwicklers Raymond Hill (gorhill).

Die beiden Erweiterungen Nano Adblocker und Nano Defender wurden, wenn meine Informationen stimmen, 2019 im Rahmen eines Nano-Projekts von einem Entwickler erstellt und für Chromium-basierende Browser sowie den Firefox und den Safari angeboten. Die Erweiterungen waren auch in den Stores für Google Chrome etc. verfügbar und haben wohl 300.000 Downloads erzielt.

Verkauf an zwei türkische Entwickler

Dem Entwickler der Nano-Core-Komponenten fehlte aber die Zeit, das Projekt weiter zu entwickeln – er schrieb, dass er zeitlich arg hinter upstream hinterher hänge. Ein Entwickler (jspenguin2017) im Nano-Core-Projekt schrieb Anfang Oktober 2020 in dieser GitHub-Ankündigung, dass er das Projekt verkauft habe. Ich ziehe es mal heraus, für den Fall, dass dieser Post gelöscht wird.

Important updates and disclaimers: The WebStore listings are no longer under my control. I am not responsible for the actions of the new developer(s). If you feel concerned about the recent changes (please continue reading for more information), please remember that you can uninstall the extensions and/or find alternatives at any time.


As some of you might have noticed, Nano Adblocker is now months behind upstream. It became clear that I simply do not have enough time to properly maintain the Nano projects.

At the beginning, there were no backlogs. As the projects grow, I added a backlog system to better manage open issues. That was unfortunately not enough, so I added another level of backlog — the triage queue. Then a third level. And a fourth one. Now the fourth level of backlog, the notification queue, has over 138 issues waiting for my attention. No matter how well I organize incoming issues, if I do not have enough time to look into them, I will simply fall further and further behind. With thousands of issues backlogged, it is only a matter of time that the Nano projects collapse.

And here comes the news. New developer(s) are in the process of acquiring Nano Adblocker and Nano Defender. Hopefully, they will be able to put an end to this backlog madness and finally give Nano Adblocker some real development time instead of constantly trying to catch up to upstream. The transition is still taking place, so I would like to ask for your patience. I will have more details about this in the upcoming days or weeks.

Kompakt zusammengefasst: Dem Entwicker fehlt die Zeit, das Projekt zu pflegen. Er hat das Projekt in die Hände neuer Entwickler gelegt, die aber bald ankündigten, eigene GitHub-Repositories zu erstellen. Damit befindet sich das Projekt nicht mehr unter der Kontrolle des ursprünglichen Entwickler.

Malware in den Erweiterungen

Vor einer guten Woche gab es auf diversen Webseiten, wo die Erweiterungen zu finden sind, den Hinweis, dass der Nano-Core und die Erweiterungen nicht mehr unter Kontrolle der ursprünglichen Entwickler seien. Raymond Hill (gorhill), der Entwickler von uBlock Origin dann den Quellcode der neuen Version (Nano Defender 15.0.0.206) inspiziert und gesehen, dass es eine Datei connect.js enthält. Diese ruft Code von *https://def.dev-nano.com/ auf, so dass die Benutzeraktivitäten und Daten im Browser an Remote-Server übermittelt werden können. Darauf haben die Kollegen von deskmodder.de in diesem Artikel hingewiesen; die Ausführungen von gorhill lassen sich hier nachlesen.

Malware in Nano-Extensions


Anzeige

Marc Stüttem hat mich dann in diesem Kommentar gestern an das Thema erinnert (danke dafür), und über obigen Tweet habe ich gesehen, dass  ArsTechnica diesen Artikel zum Thema veröffentlicht hat. Am 20. Oktober 2020 hat ein Sicherheitsexperte mit Namen Christopher Partridge das Ganze in diesem Blog-Beitrag aufgedröselt. Hier der Exzerpt:

Die folgenden Chrome-Erweiterungen wurden von einem Malware-Autor von ihren ursprünglichen Urhebern erworben, und alle Benutzer dieser Erweiterungen innerhalb des betroffenen Zeitrahmens sollten als gefährdet betrachtet werden, da die Erweiterungen von Chrome automatisch aktualisiert werden.

Chris listet folgende Erweiterung bzw. Komponenten auf, die man tunlichst von seinen Systemen entfernen sollte:

  • User-Agent Switcher
  • Nano Adblocker
  • Nano Defender

Die Kollegen von deskmodder.de geben noch an, dass man auch die nachfolgenden Komponenten entfernen sollte:

  • Nano Contrib Filter – Placeholder Buster
  • Nano Defender Integration
  • Nano filters
  • Nano filters – Annoyance
  • Nano filters – Whitelist

Denn diese Komponenten wurden ebenfalls verkauft. Martin Brinkmann hatte das bereits am 16. Oktober 2020 auf Ghacks.net in diesem Artikel detaillierter aufbereitet. Der oben verlinkte ArsTechnica-Beitrag fasst das nochmals zusammen. Insgesamt ist die Gemengelage ziemlich unübersichtlich, man muss also bei jeder Platform, wo die Extensions gehostet werden, nachsehen, ob der ursprüngliche Entwickler noch die Kontrolle besitzt. Auf ArsTechnica findet sich folgender Kommentar, den die Autoren hervorgehoben haben:

Zirconium Hacker Smack-Fu Master, in training

I was affected by this because I used Nano Defender to supplement uBlock Origin. It was completely unexpected that this open source extension would suddenly change hands, with no warning aside from some information on GitHub that I didn’t read until it was too late. There is nothing I could have done… and now I have an Instagram account filled with likes that aren’t mine. I’m glad that’s all, I guess – they could have done much worse.

Generell würde ich an dieser Stelle postulieren: Mit Browser-Erweiterungen gibt der Nutzer die Kontrolle über seine Daten ab – und das Projekt als solches ist kompromittiert. Man kann eigentlich nur das ganze Zeug entfernen, egal aus welcher Quelle. Wisst ihr also jetzt Bescheid.

Ergänzungen: Inzwischen hat Google reagiert und hat die Nano Chrome-Erweiterungen entfernt – siehe diese Artikel bei heise. Zudem wurde es in den Kommentaren angesprochen: Extensions für andere Plattformen wie Firefox oder Safari seien nicht betroffen. Läuft etwas konträr zu meiner Empfehlung in obigem Absatz – die ich aber bewusst so formuliert habe. Denn wer gewährleistet denn, dass die betreffenden Extensions nicht längst den Besitzer gewechselt haben? Man kann nur darauf vertrauen, dass das, was auf den betreffenden Webseiten der Extensions steht auch so stimmt. Nur als Anmerkung.


Anzeige


Dieser Beitrag wurde unter Edge, Firefox, Google Chrome, Sicherheit, Software abgelegt und mit Browser, Erweiterungen, Malware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Datenklau: Browser-Extension Nano Adblocker/Defender & Co. entfernen


  1. Anzeige
  2. ubie sagt:

    Die Kollegen von Heise schreiben, dass die gleichnamigen Firefox-Erweiterungen nicht betroffen seien, da diese dort von anderen Entwickler betreut würden?
    https://www.heise.de/news/Google-Chrome-Datensammelnde-Adblocker-wurden-entfernt-4934559.html

    Betrifft es eigentlich lediglich die entsprechenden Browser-Addons oder sind auch die
    entsprechenden Filterlisten z.B. in “uBlockorigin” davon betroffen?

  3. ubie sagt:

    **Nachtrag
    Empfehlung: Deinstallieren aller “Nano-Erweiterungen” in uBlockorigin o.ä.

    Nano Defender dient dem Zweck, Antiblock-Skripte zu umgehen. Es gibt andere uBlock Origin-kompatible Listen, die dasselbe erreichen:
    Adblock Warning Removal:
    https://filterlists.com/lists/adblock-warning-removal-list

    Fuck Fuckadblock :
    https://filterlists.com/lists/fuck-fuckadblock

    Diese beiden Filterlisten können als Ersatz dienen.

  4. Anzeige

  5. deoroller sagt:

    Jemand hat in seinem Blog gepostet, er habe über 40 alte XUL-Erweiterungen bei SeaMonkey laufen und in seinem letzten Eintrag postet er, der aktuelle 2.54 SeaMonkey liefe nicht mehr, so dass er mit der Vorgängerversion unterwegs sei. Wenn sich jemand dermaßen mit Erweiterung umgibt, ist ein löchriger Browser das kleinste Problem. SeaMonkey 2.53.x basiert auf Gecko 56, der letzten Version vor dem Firefox Wechsel zu Quantum mit Webextensions, was mittlerweile fast drei Jahre her ist.

    • Steter Tropfen sagt:

      SeaMonkey 2.54? Wo gibt’s die Version? Weiter als bis 2.53.4 vom 22.9.20 sehe ich nichts angeboten. Die 2.53er-Serie basiert lt. Wikipedia auf Gecko 60, die 2.49er auf Gecko 52, eine 56 kann ich nirgends finden.

      Wobei die PaleMoon-Entwickler (ein Browser, der weiterhin XUL-Erweiterungen unterstützt, allerdings künftig nur noch speziell für PaleMoon freigegebene – oder selbst gepatchte) eine sehr deutliche Meinung zu den Webextensions äußern. Es geht damit eben vieles aus Prinzip nicht mehr – was natürlich auch eine Art von Sicherheit darstellt…

  6. IT-Consultant sagt:

    Welcher User-Agent Switcher? Eine genauere Klassifizierung wäre schon sehr hilfreich. Den User-Agent Switcher, den ich verwende, ist von Google herausgeben.

    MfG

  7. Tom sagt:

    Für mich ein wieder mal klares Indiz für das Sprichwort: “Money makes the world go ’round”… :-(
    Sehr schade – hätte der Entwickler einfach geschrieben, daß er das Projekt beendet, wäre es wohl auch nicht so schnell zur Löschung seitens GOOGLE gekommen und MOZILLA wird früher oder später auch die Erweiterungen löschen (müssen).
    Auf die Naivität des Erstellers in Bezug auf Möglichkeiten zwecks seiner Erweiterungen gebe ich “keinen Pfifferling”!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.