Abermals möchte ich vor chip.de warnen ich hatte es hier Warnung vor Downloads auf chip.de schon einmal getan, dort ging es aber allgemein um Downloads und zwar um die manuellen Downloads, der eine von Mozilla nicht frei gegebenen Firefox herunter lud.
Jetzt möchte ich über den Installer berichten. Ich schreibe das hier in diese Rubrik Allgemein, da es um die allgemeine Sicherheit von Firefox geht, die hier untergraben wird. (Falls Admin/Mod anderer Meinung sind kann es auch gerne verschoben werden)
Den Chip Installer bekommt man wenn man innerhalb des roten Rahmens drauf klickt
Einmal ausgeführt, lädt er das Programm später runter, doch erst einmal werden diverse "Sponsored Angebote" versucht einem unter zu jubeln, die man nur wenn man genau aufpasst abwählen kann (wie bei x anderen Installern eben auch). Die Angebote wechseln immer und man wird heute nicht mehr die gleichen erhalten wie vor 3 Tagen.
Soweit nix neues.
Ein "Angebot" davon war Sparalarm, habe ich erst weg geklickt, nach der Aufforderung Wollen sie wirklich blablabla dann doch auf ja geklickt und das Ding installiert. Ist ja nur ne Erweiterung ... aber weit gefehlt.
Das Teil installiert sich nach Program Files (x68)\sparalarm und installiert im Firefox die Erweiterung Sparalarm.
Wer nun denkt er könne einfach wieder die Erweiterung entfernen und sparalarm via Systemsteuerung auch. Kann man machen und es ist zunächst auch alles weg aber klammheimlich hat sich bei der Installation auch eine user.js in die Firefox-Profile geschoben und nachdem die prefs.js die Werte von der user.js übernommen hat, wurde diese user.js auch wieder gelöscht.
In der prefs.js stehen nun die manipulierten Einträge wie
Ein gefälschter Server für die Blocklist URL (zu moziIIa.com also zu moziiia.com denn die beiden II sind keine kleinen L sondern große i )
Die Telemetrie Daten werden auch an gefälschte Server geschickt (moziiia.org)
Die Liste für geblockte Erweiterungen wird deaktiviert und somit können schädliche Erweiterungen nicht mehr geblockt werden durch diese Liste
usw.
Ich habe das alles dokumentiert gemeldet an einen Addon Reviewer und das führte letztendlich zur Blockierung
https://blocked.cdn.mozilla.net/19f599bd-2226-…5fd106fc3d.html
https://bugzilla.mozilla.org/show_bug.cgi?id=1586677
Die Erweiterung an sich war wahrscheinlich nicht einmal schädlich, aber die Art und Weise wie diese verteilt wurde
in dem der Standard-Sideloading Prozess aushebelt wurde und die Zustimmung des Users umgangen wurde, führte zur Blockierung.
Man kann auch davon ausgehen, dass die Person/Firma, die das Sponsoring im Installer gebucht hat, auch der Autor der Erweiterung ist.
in dem Fall wohl
sparalarm.chip.de/impressum (gleich mal auf archive.org verlinkt, falls die Seite mal weg verschwinden sollte )
Jetzt darf sich jeder selbst ne Meinung bilden über diese Seite. und gucken ob man selbst betroffen ist/war.
//hm. Cliqz und Burda seh ich da. Gibt es da eigentlich aktiv noch eine Partnerschaft mit Mozilla oder war das mal?