Mozilla blockt schädliche Add-Ons mit 455.000 Nutzern

Sicherheit (Pexels, allgemeine Nutzung)[English]Zwei Add-Ons mit den Namen Bypass und Bypass XM, die zusammen auf ca. 455.000 Benutzer kommen, wurden von den Firefox-Entwicklern blockiert. Der Hintergrund ist, dass die Add-Ons die Firefox proxy API missbraucht haben, um Webseiten umzuleiten oder Updates zu blockieren. Hier ein paar Informationen dazu.


Anzeige

Auf reddit.com gibt es diesen Post, wo jemand nach dem Verbleibt des Bypass Paywall Add-Ons fragt. Die Verlinkungen auf Github führen mittlerweile ins Leere, und das Projekt ist auf Chrome-Add-Ons umgestiegen (siehe).

Wenn ich richtig mitbekommen habe, dienen die zwei Add-Ons Bypass und Bypass XM dazu, Paywalls von Internetseiten auszuhebeln. Immerhin 455.000 Benutzer haben diese Add-Ons verwendet. Die Kollegen von Bleeping Computer haben den Sachverhalt in nachfolgendem Tweet sowie in diesem Artikel aufgegriffen.

Die Kollegen schreiben, dass Anfang Juni 2021 entdeckt wurde, dass die beiden bösartigen Add-Ons die Proxy-API missbrauchen, um Firefox-Updates zu blockieren. Die Add-Ons nutzten die API, um Webanfragen abzufangen und umzuleiten. Zudem hindern sie Nutzer am Herunterladen von Updates, an der Aktualisierung von remote konfigurierten Inhalten und am Zugriff auf aktualisierte Blocklisten. Rachel Tublitz und Stuart Colville von Mozilla werden von Bleeping Computer so zitiert:

Um zu verhindern, dass weitere Nutzer von neuen Add-on-Einreichungen betroffen sind, die die Proxy-API missbrauchen, haben wir die Genehmigungen für Add-ons, die die Proxy-API verwenden, pausiert, bis Korrekturen für alle Nutzer verfügbar sind.

Ab dem Firefox 91.1 haben die Entwickler auf solche Ansätze reagiert und können direkte Verbindungen für wichtige Anfragen wie Updates nutzen und die Proxy-Konfiguration bei Bedarf umgehen. Um ähnliche bösartige Add-ons, die dieselbe API missbrauchen, zu blockieren, hat Mozilla laut Bleeping Computer ein System-Add-on (versteckt, nicht deaktivier- und ohne Neustart aktualisierbar) mit der Bezeichnung Proxy Failover hinzugefügt. Dieses neue Add-on verhindert Versuche, die Update-Mechanismen in aktuellen und älteren Firefox-Versionen zu stören. Weitere Details sind ggf. bei den Kollegen nachzulesen. Hatte jemand die Add-Ons im Einsatz?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit Firefox, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Mozilla blockt schädliche Add-Ons mit 455.000 Nutzern

  1. mw sagt:

    Kaum zu glauben was sich Mozilla da herausnimmt. Es war aufwendig genug, den penetranten Updatewunsch von FF endgültig und dauerhaft zu unterdrücken. FF wird weiter User verlieren. Ich versteh das nicht!

    • LOL sagt:

      Also um Updates zu deaktivieren braucht man nun wirklich kein Addon, eine einfache "policies.js" im Programmverzeichnis-Unterordner "distribution" reicht.
      Auf diese Art und Weise kann man quasi alle Einstellungen für alle Nutzerprofile vorgeben:

      https://support.mozilla.org/de/kb/firefox-mithilfe-der-datei-policiesjson-anpassen
      https://github.com/mozilla/policy-templates/blob/master/README.md

      Worum es bei den Addons geht ist dass diese einen (reverse) Proxy konfigurieren, der kostenlosen Zugriff auf Bezahlseiten ermöglicht. Das ist aber vermutlich nur machbar, wenn man auch den Traffic des Nutzers mitlesen kann (da Anfragen/Cookies manipuliert werden müssen) – bzw. ist das ein Nebeneffekt davon (wie bei den meisten Proxies).

      Das die Mozilla-Aktualisierung durch diese Addons geblockt wird ist nur ein Nebeneffekt, der ehrlich gesagt nicht besonders viel Vertrauen einflößt.

    • Ralf Lindemann sagt:

      Seit Version 60 hat Firefox die sogenannte Enterprise Policy Engine an Bord. Mit der Policy Engine lässt sich das Updateverhalten (und anderes mehr) konfigurieren und steuern. Die dafür notwendige Konfigurationsdatei (policies.json) kann zum Beispiel unkompliziert mit dem Add-on „Enterprise Policy Generator" von Sören Hentzschel erstellt werden. Der Arbeitsaufwand ist sehr überschaubar. – BTW Der Ansatz funktioniert auch unter Thunderbird.

      • deoroller sagt:

        Die Erweiterung Enterprise Policy Generator wurde seit Jahren nicht mehr weiterentwickelt.
        Der Autor kündigte eine neue Version an, die auch für Thunderbird geeignet sei, aber gekommen ist die nicht.

        • Ralf Lindemann sagt:

          Letzte Update: 02-2020. – Ob Sören Hentzschel seinen Policy Generator noch weiterentwickeln wird, weiß ich nicht. Aktuell ist der Einsatz unter Firefox meiner Meinung nach unproblematisch. – Policy Engine und Policy Generator sind ohnehin zwei unterschiedliche Dinge. Die Policy Engine werkelt unabhängig vom Policy Generator in Firefox und Thunderbird. Der Policy Generator ist ja nur ein Hilfsmittel, dass das Erstellen der Konfigurationsdatei vereinfacht; darüber hinaus hat das Add-on keine Funktion.

          Bzgl. Thunderbird. – Ich steuere das Updateverhalten meines Thunderbird via policies.json. Diese policies.json habe ich unter Firefox mit dem Policy Generator für Thunderbird erstellt; das Prozdere ist (bezogen auf Updates) bei Firefox und Thunderbird identisch. Mit anderen Worten: Ich war so frei, ein Firefox-Hiftsmittel für Thunderbird zu adaptieren.

    • Singlethreaded sagt:

      Warum sollte man bei einem Webbrowser die Updates deaktivieren wollen? Die Verwendung einer aktuellen Version ist doch schon aus Sicherheitsgründen dringend anzuraten. Alles andere wäre wohl ehr fahrlässig.

      • LOL sagt:

        Also ehrlich: Ich fahre die Updates auch manuell (innerhalb von 2 Wochen nach Erscheinen, je nach Dringlichkeit).

        Die aktuellen Firefox-Versionen (inkl. ESR) sind in der Hinsicht extrem lästig und werden für "Enterprise" immer unbrauchbarer, IMHO. Auch der Endbenutzer hat wenig Spaß, wenn sein Benutzerprofil mal wieder im Eimer ist bzw. nur halb in eine neue Version überführt wurde.

        Hintergründe:
        Benutzerprofile sind dank "compatibility.ini" auf einmal Versionsspezifisch, auch was minor Updates angeht, die nie etwas an der Kompatibilität ändern (dürften).
        Konsequenz: Meldet sich der Benutzer an einem Rechner der noch eine ältere Version hat (z.B. ausgeschaltet war oder noch kein Update bei Mozilla gesucht/gefunden) an, geht nix mehr.

        Dito bei Addons: Man kann die nicht mehr zentral vorinstallieren, die landen jetzt im Nutzerprofil und werden von AMO installiert.

        Und bei jedem 2. Update gehen irgend welche Profile bzw. Addons gar nicht mehr…

    • FriedeFreudeEierkuchen sagt:

      Habe ich das richtig verstanden, dass du dich beschwerst, dass dein Browser Updates runter lädt? Die Software, die am stärksten angegriffen wird willst du nicht aktualisieren???? Das wiederum verstehe ich nicht.
      Browser, Mailprogramm, PDF-Viewer und alle Datei-Betrachter (vor allem für Grafik und Video) werden permanent angegriffen. Diese Software sollte immer aktuell sein.

  2. Steter Tropfen sagt:

    Nanu, ich dachte, Mozilla hätte seine AddOn-Struktur deswegen so einschneidend kastriert, damit nur noch sichere (wenn auch spärliche) Zusatzfunktionen möglich seien. Wie ich sehe, sind dadurch zwar massenweise nützliche Erweiterungen rausgekickt worden, aber dubiose gibt es weiterhin.
    Kastriert wurden zudem die Einstellungsmöglichkeiten für den zunehmend unmündigen Anwender. Die Option „Nicht nach Updates suchen (nicht empfohlen, Sicherheitsrisiko)" einfach rauszunehmen: das ist doch genauso diktatorisch wie die MS-Zwangsupdate-Politik.
    Ich weiß ja nicht, ob der Ausdruck „bösartig" da den Richtigen trifft…

    Wie lange muss man sich noch für alles ein AddOn suchen, was man früher direkt im Firefox regeln konnte? Und da wundern die sich über die Erosion ihrer Nutzerzahlen.

  3. Rabiat sagt:

    > Die Option „Nicht nach Updates suchen (nicht empfohlen, Sicherheitsrisiko)" einfach rauszunehmen: das ist doch genauso diktatorisch wie die MS-Zwangsupdate-Politik.

    Dem stimme ich uneingeschränkt zu. Was unterscheidet Mozilla noch von einer organisierten Despotie? Heutzutage muss man dass wirklich fragen. Firefox hat inzwischen fast keine der wichtigen Funktionen mehr. Ich jedenfalls werde mein Abo kündigen, wenn die so weiter machen. Ich lasse mich nicht entmündigen. In 10 Jahren nutzt niemand mehr diese Demütigung.

    • Schrägar der Heckliche sagt:

      Wie bitte?!? Was ist das denn für eine schräge Debatte?

      Das mit Abstand größte Angriffsrisiko für einen *privat genutzten* PC liegt im Browser (völlig egal welcher), weil dieser Browser ständig direkt Code aus dem Internet auswerten *muß* (sonst könnte man keine Webseite lesen).

      Ein Browser (egal welcher) muß *zwingend* schnellstmöglich – also *sofort* upgedatet werden – Punkt!!

      Man man man…

  4. Singlethreaded sagt:

    Wir verteilen die Updates für Firefox per MEM (formerly SCCM) und bisher gab es dort praktisch keine Probleme. Allerdings verwenden wir auch keine Roaming Profiles. Daher tritt der Fall, dass eine ältere Version ein neues Profil laden möchte nicht auf.

    Hier stellt sich einem natürlich die Frage warum Firefox dann keine Meldung gibt und direkt ein Update anbietet, um die Kompatibilität wieder herzustellen. Grundsätzlich ist ein zeitnahes Update ja sinnvoll.

    Gruß Singlethreaded

    • LOL sagt:

      Das Problem ist nicht das Upgrade, das geht automatisch. Downgrade geht aber nur, wenn man Hand anlegt (compatibility.ini im Profil löschen). Das passiert genau dann, wenn $Benutzer sich ausnahmsweise an einem Rechner anmeldet, der ein paar Tage aus war oder halt noch nicht in der aktuellen Update-Welle von Mozilla freigeschaltet wurde.
      Zudem werden die Updates im Allgemeinen durch den Browser-Start ausgelöst, d.h. kein Browser benutzt, veraltete Version bleibt auf dem Rechner. Das ist ne ziemlich teuflische Kombination, deswegen zentrale Updates per OPSI – nix automatisch.

      Richtig übel ist das bei Homeoffice – der Terminalserver ist immer aktuell, die Clients im Büro sind halt aus, wenn der Benutzer zu Hause arbeitet…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.