seltsamer Code in Malware Erweiterung


  • Klar habe ich sie freiwillig herunter geladen zum testen. Ich begab mich ganz bewusst auf Seiten, wo ich wusste die öffnen viele Werbe und Fake Seiten und bin dann eben auf einigen fündig geworden, die mir u.a. diese Erweiterung aufzwingen wollten (ich weiß schon wie man das umgehen kann, aber das ist nicht das Thema) und habe sie mir freiwillig installiert um zu sehen was sie macht.
    Vielleicht hab ich deinen Post ja falsch verstanden :D


    Nee, alles gut. Für mich hat sich dein erster Post so gelesen, als hättest du dort auf der Seite die Extension heruntergeladen, also so, wie man das eben auch mit anderer Software macht. Ich gehe jetzt allerdings davon aus, dass du dich freiwillig "infizieren" hast lassen. Oder liege ich da schon wieder falsch?... :lol:

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)

  • Ich habe mich in gesicherter Umgebung erst freiwillig infizieren lassen, mir dann den Quelltext der Seite angesehen und noch einmal die Erweiterung (anhand der URL des Quelltextes) herunter geladen um sie zu besitzen und zu analysieren bzw. weiter zu geben für bugzilla.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • und wieder habe ich eine Erweiterung gefunden (ja ich suche gezielt nach diesen) die nach Installation verhindert, dass man about:addons aufrufen kann, denn es öffnet sich danach nur die google Suche.
    Kann Mozilla so etwas nicht komplett unterbinden? :grr:

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Das ist leider nicht so einfach, wie es sich zunächst anhören mag, weil sich das wohl technisch nicht lösen lässt, ohne wieder neue Einschränkungen einzuführen, welche auch legitime Anwendungsfälle von WebExtensions unterbinden, was man natürlich auch nicht will. Bisher kann Mozilla darauf nur mit blockieren reagieren.

    Hast du denn Mozilla das schon gemeldet oder das noch vor?

  • klar, habs schon gemeldet. Aber das ist total frustrierend. Kaum habe ich eine Erweiterung gemeldet, wird einfach eine neue Erweiterung mit gleichem Verhalten und neuer UUID erstellt und verbreitet.
    Das ist total unsinnig.
    Wenn man sich die gesperrten Addons https://blocked.cdn.mozilla.net/ anguckt, habe ich in den letzten 10 Tagen ca. 20 Erweiterungen gemeldet (6 sind noch nicht in die Blocklist aufgenommen worden). Das dauert alles 1. zu lange und 2. ist es wie schon mal gesagt, ein Lauf gegen Windmühlen.
    Ich will gar nicht wissen, wie viele Erweiterungen noch so in Umlauf sind, wenn eine einzelne Person (ich) schon so viele findet.
    Teils wird sogar der exakt gleiche Code, wie bei gesperrten Erweiterungen genommen und einfach unter anderer UUID wieder signiert.
    Da muss was geschehen. Ich weiß jetzt nicht welche legitimen Erweiterungen diese Einschränkungen betreffen würden (vielleicht kannst du das etwas erläutern) Aber so wie es jetzt ist das kein Zustand, wenn sogar about:addons durch schädliche Erweiterungen nicht mehr aufgerufen werden kann.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Ich kann dir keine Details nennen, da ich dazu keine Hintergründe habe. Aber siehe hier:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1299571#c12

    Zitat

    My first thought was to just shut off any notifications to extensions regarding about urls (e.g. tabs.onUpdated). That of course will break some legit use.

    Irgendwo anders hatte ich noch gelesen, dass es wohl vor allem Tab-Erweiterungen betreffen würde, weil diese dann nicht mehr entsprechende Tabs berücksichtigen könnten.

    Fakt ist einfach, dass jede Form der Anpassbarkeit ihren Preis hat. Auf der einen Seite will man, dass Erweiterungen so viel wie möglich können. Schränkt man Erweiterungen ein, ist das Gemeckere riesengroß. Aber je mehr Erweiterungen können, desto mehr Möglichkeiten gibt es auch wieder, die vorhandenen Optionen in einer negativen Weise auszunutzen. Mozilla kann nur versuchen, die beste Balance zu finden. Den perfekten Weg gibt es nicht. Das ist eine wichtige Erkenntnis. Ist es deprimierend? Ja. Aber es ist eben, wie du richtig sagst, ein Kampf gegen Windmühlen. Eine Lösung ohne Abstriche für die Nutzer existiert nicht…

  • Ja, das mag sein, dass es eine Lösung ohne Abstriche für die Nutzer nicht gibt. Nur so ist es auch kein Zustand. Da muss sich was ändern, da die Nutzer mit so einer Erweiterung auch eingeschränkt werden und dazu noch mehr (wenn ich das richtig interpretiere, werden dadurch alle cookies gesammelt)

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • kann mir jemand von den Experten hier mal wieder helfen? :oops:

    Code
    {var _0x247bdf=function(_0x400495){while(--_0x400495){_0x1ecc9d['push'](_0x1ecc9d['shift']());}};_0x247bdf(++_0x908723);}(_0x80d1,0x1f3));var _0x39ef=function(_0x22cc80,_0x36ecc9)

    Dies ist ein Teil vom Code von einer (schädlichen) Erweiterung. Kann mir jemand was zu dem Code sagen, und wie/mit was man den ggf. entschlüsseln kann? ?

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Da gibt es nichts zu entschlüsseln. Die Variablen- und Funktionsnamen wurden halt durch zufällige Zeichenketten ersetzt. Namen kann man beliebig wählen. Das ist also nur eine Verschleierung, um die Lesbarkeit zu verschlechtern. Das scheint mir aber nur ein Code-Ausschnitt zu sein, denn abgesehen davon, dass das so nicht ausführbar ist, da unvollständig und so nur einen Syntaxfehler erzeugt, fehlt da der Kontext. ;)

  • Gerade eine Mail erhalten, die wohl an alle ging, die (irgendwann einmal) Erweiterungen entwickel(te)n bzw. wohl auch nur signiert haben.

    Übersetzt mit http://www.DeepL.com/Translator


    Das finde ich wirklich gut :klasse: und war lange fällig.
    EDIT: Ergänzungslink https://developer.mozilla.org/en-US/docs/Moz…Reviews-2019-05

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Heute wurde eine Erweiterung auf AMO gefunden, die im Hintergrund sämtliche in Firefox eingegebenen Login/PW Daten (man musste sie noch nicht einmal abgeschickt haben) an einen fremden Server schickt. Es ist wirklich erschreckend und ein Trauerspiel. :(

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)