Auf dem Laptop einer Bekannten erschien fast jedes Mal, nach Rechner Neustart wenn sie Firefox öffnete ein schwarzes Popup Fenster ohne Schließen Kreuz, welches eine bestimmte Adresse (weeklycomputingidea.blogspot.com) geladen hat. Dieses Adresse und auch die Umleitung zu weeklycomputingidea.blogspot.de war dann auch in der Chronik zu finden.
Ich habe mir dann als erstes ihre Erweiterungen angesehen und sah dort nichts auffälliges, da alle signiert waren. Auch AdwCleaner fand nichts und eine user.js befand sich auch nicht im Profil. Somit löschte ich die Chronik inklusive Cache und aller Cookies und Seiteninformationen. Aber beim nächsten Rechner/Firefox Neustart war dieses Popup wieder da.
Nach langer Recherche fand ich endlich heraus dass die Ursache die Erweiterung Test your memory war. Irgendwie lädt diese Erweiterung die Seite http://lipocodes.com/MemoryGames/ajax2.php
Dort steht dann drin
yes^^^http://weeklycomputingidea.blogspot.com/^^^toolbar=0,location=0,titlebar=0,status=0,menubar=0,scrollbars=0, resizable=0,top=0,left=0, height=90, width=750
Lädt man diese Seite erneut steht nur noch
drin.
Soweit wie möglich habe ich mir die Erweiterung genauer angesehen, indem ich sie entpackt habe um die einzelnen Dateien genauer unter die Lupe zu nehmen. Eine direkte Zeile zu der Adresse http://lipocodes.com/MemoryGames/ajax2.php fand ich nicht, lediglich die Adresse http://lipo-technologies.com/MemoryGames/ajax2.php, welche aber zu einer unregistrierten Domain führt.
Gut, ich kenne mich wirklich zu wenig aus um Quellcode analysieren zu können, aber ich frage mich warum dies bei signierten Addons überhaupt möglich ist. Sieht man in die Bewertungen von dem Entwickler der Erweiterung ,findet man oft Aussagen über Ad/Malware. Zudem scheint dieser Entwickler noch ein ähnliches Profil zu haben, mit noch anderen Erweiterungen (durch diesen Threat http://forums.mozillazine.org/viewtopic.php?f=38&t=2761331 darauf gestoßen). Auch dort viele Hinweise in seinen Erweiterungen über Ad/Malware. (z.B. bei dieser Erweiterung nur negative Bewertungen)
Ich kann mir schon vorstellen, dass es für Mozilla schwierig ist das alles zu prüfen. Aber gerade wenn eine Erweiterung auf den Content auf fremden Servern zugreift, halte ich das für sehr bedenklich. Da ließe sich ja immer leicht was unterschmuggeln.
Also meine Frage: inwieweit kann Mozilla überhaupt prüfen? Insbesondere wenn die Erweiterung auf Content auf anderen Seiten zugreift? Die Seite http://lipocodes.com/MemoryGames/ajax2.php bzw. die Weiterleitung auf weeklycomputingidea.blogspot.com mit Ad/Malware/Viren auszustatten wäre für einen Addon-Entwickler ja ein leichtes.