Gefährliche Chrome-Extension: Gezwungene Installation, entführter Browser & Deinstallation nicht möglich

chrome 

Mit dem Chrome Web Store betreibt Google den einzigen zugelassenen Handelsplatz für Chrome-Extensions, und möchte mit dieser Exklusivität eigentlich für Ordnung im Ökosystem sorgen. Doch in der letzten Zeit häufen sich die Berichte über Malware und teilweise auch gefährliche Extensions, die in Googles Store ihr Unwesen treiben. Jetzt fand sich dort sogar eine Extension, die es dem Nutzer fast unmöglich gemacht hat, diese wieder ohne weiteres zu entfernen.


Was für das Android-Smartphone der Play Store ist, ist für den Chrome-Browser der Chrome Web Store. Allerdings kann man wirklich auch nur vom ganz kleinen Bruder sprechen, denn sowohl in der Wahrnehmung der Nutzer als auch bei Google selbst scheint der Store keine all zu hohe Priorität zu haben. Jetzt gibt es wieder einen Bericht über eine Extension, für die Google gut drei Wochen gebraucht hat um sie zu entfernen, und das obwohl sie offensichtlich nichts gutes im Schilde führte.

Chrome Extension

Die mittlerweile aus dem Store entfernte Chrome-Extension „Tiempo en colombia en vivo“ versprach eigentlich einen ständig aktuellen Überblick über das Wetter, aber tatsächlich hat die Extension im Hintergrund nur ihr Unwesen im Browser des Nutzers getrieben. Beim Besucher vieler großer Webseiten wurden zusätzliche Werbebanner eingeschleust und es wurden immer wieder Popups mit Werbung geöffnet, wobei bei jedem Klick natürlich die Entwickler der Extension und nicht die eigentlichen Webmaster verdient haben.

Außerdem hat die Extension im Hintergrund immer wieder Dutzende neue Browser-Tabs mit YouTube-Videos geöffnet. Das Ziel war es ganz offensichtlich, die Klickzahlen dieser Videos nach oben zu treiben. Was das den Extension-Entwicklern bringt ist mir zwar schleierhaft (denn daraus resultieren ja keine Einnahmen und auch keine neuen Abonnenten), aber es ist natürlich sehr nervig und zeigt dem betroffenen Nutzer spätestens an dieser Stelle, das etwas nicht stimmt.

Aufgezwungene Installation
Die Installation soll den Besuchern einiger Webseiten aufgezwungen worden sein. Das Schließen des betroffenen Tabs soll durch unzählige Javascript-Meldungen immer wieder unterbunden worden sein, bis der Nutzer einwilligt, die Extension zu installieren. Damit war dann zwar die Webseite endlich geschlossen, aber das eigentliche Problem fing erst an (siehe oben).



Deinstallation nicht (so leicht) möglich
Hat man dann als Nutzer bemerkt dass etwas nicht stimmt, wird der Verdacht wohl sehr schnell auf die neue Extension fallen. Versucht man nun aber die Extension zu deinstallieren, werden Steine in den Weg gelegt. Die Webseite chrome://extensions wurde automatisch auf chrome://apps weitergeleitet, wo nur die Apps, aber nicht die Extensions sichtbar sind. Das deaktivieren von JavaScript half ebenfalls nichts, da diese Option nur für Webseiten aber nicht für Extensions greift.

Über das Kontextmenü der Extension war es vermeintlich ebenfalls nicht möglich, diese zu entfernen – weil es nicht sichtbar war. Die Extension hat als Logo einfach ein einfarbiges Quadrat in der Browser-Farbe verwendet (siehe Screenshot oben), das auf den ersten und auch zweiten Blick nicht sichtbar ist. Schlussendlich half nur das manuelle Suchen der Extension im Chrome-Verzeichnis und das Umbenennen der Datei, so dass sie automatisch von Chrome deaktiviert wurde und dann mit dem üblichen Weg entfernt werden konnte.

Die Extension soll über 11.000 aktive Nutzer (vermutlich nicht ganz freiwillige) gehabt haben und war auch nach der Meldung an Google noch ganze 19 Tage im Store zu finden. Mittlerweile soll sie aber automatisch aus allen Browsern entfernt worden sein. Fraglich ist auch, warum es der Browser einer Extension erlaubt, eine System-Seite wie chrome://extensions weiterzuleiten. Vielleicht sollte man diese kleine Lücke mit einer der nächsten Versionen schließen.

» Ausführlicher Bericht bei Malwarebytes

Siehe auch
» Über 500.000 Nutzer betroffen: Sicherheitsforscher haben erneut schadhafte Chrome-Extensions entdeckt

[Ars Technica]




Teile diesen Artikel:

Facebook twitter Pocket Pocket