Signierte Erweiterungen, wie sicher?

    Auf dem Laptop einer Bekannten erschien fast jedes Mal, nach Rechner Neustart wenn sie Firefox öffnete ein schwarzes Popup Fenster ohne Schließen Kreuz, welches eine bestimmte Adresse (weeklycomputingidea.blogspot.com) geladen hat. Dieses Adresse und auch die Umleitung zu weeklycomputingidea.blogspot.de war dann auch in der Chronik zu finden.

    Ich habe mir dann als erstes ihre Erweiterungen angesehen und sah dort nichts auffälliges, da alle signiert waren. Auch AdwCleaner fand nichts und eine user.js befand sich auch nicht im Profil. Somit löschte ich die Chronik inklusive Cache und aller Cookies und Seiteninformationen. Aber beim nächsten Rechner/Firefox Neustart war dieses Popup wieder da.
    Nach langer Recherche fand ich endlich heraus dass die Ursache die Erweiterung Test your memory war. Irgendwie lädt diese Erweiterung die Seite http://lipocodes.com/MemoryGames/ajax2.php
    Dort steht dann drin

    Code
    yes^^^http://weeklycomputingidea.blogspot.com/^^^toolbar=0,location=0,titlebar=0,status=0,menubar=0,scrollbars=0, resizable=0,top=0,left=0, height=90, width=750

    Lädt man diese Seite erneut steht nur noch

    Code
    no

    drin.

    Soweit wie möglich habe ich mir die Erweiterung genauer angesehen, indem ich sie entpackt habe um die einzelnen Dateien genauer unter die Lupe zu nehmen. Eine direkte Zeile zu der Adresse http://lipocodes.com/MemoryGames/ajax2.php fand ich nicht, lediglich die Adresse http://lipo-technologies.com/MemoryGames/ajax2.php, welche aber zu einer unregistrierten Domain führt.

    Gut, ich kenne mich wirklich zu wenig aus um Quellcode analysieren zu können, aber ich frage mich warum dies bei signierten Addons überhaupt möglich ist. Sieht man in die Bewertungen von dem Entwickler der Erweiterung ,findet man oft Aussagen über Ad/Malware. Zudem scheint dieser Entwickler noch ein ähnliches Profil zu haben, mit noch anderen Erweiterungen (durch diesen Threat http://forums.mozillazine.org/viewtopic.php?f=38&t=2761331 darauf gestoßen). Auch dort viele Hinweise in seinen Erweiterungen über Ad/Malware. (z.B. bei dieser Erweiterung nur negative Bewertungen)

    Ich kann mir schon vorstellen, dass es für Mozilla schwierig ist das alles zu prüfen. Aber gerade wenn eine Erweiterung auf den Content auf fremden Servern zugreift, halte ich das für sehr bedenklich. Da ließe sich ja immer leicht was unterschmuggeln.

    Also meine Frage: inwieweit kann Mozilla überhaupt prüfen? Insbesondere wenn die Erweiterung auf Content auf anderen Seiten zugreift? Die Seite http://lipocodes.com/MemoryGames/ajax2.php bzw. die Weiterleitung auf weeklycomputingidea.blogspot.com mit Ad/Malware/Viren auszustatten wäre für einen Addon-Entwickler ja ein leichtes.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Einmal editiert, zuletzt von Zitronella (8. August 2015 um 14:00)

    Das ist eine 4 Jahre alte Erweiterung. Die wurde einfach automatisch ohne
    vorhergehende Kontrolle signiert. Wie die meisten, zum Zeitpunkt,
    der ersten Signierung, bei Amo vorhandenen Erweiterungen.
    Wenn Du die jetzt hoch laden würdest, käme die wahrscheinlich nicht durch.

    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/124.0.2
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

    Was kann man aus dieser Geschichte mitnehmen?
    Bevor man eine Erweiterung installiert, sollte man sich die Bewertungen ansehen... insbesondere die, die nicht sofort sichtbar sind... dort wird bei dieser explizit auf Adware etc. hingewiesen.... die 5 Sterne Bewertungen, die sichtbar sind, haben alle seine (Geschäfts-)Freunde abgesetzt, damit die kritischen nach hinten rutschen, behaupte ich jetzt einfach mal...
    [attachment=0]2015-08-08_135342.jpg[/attachment]
    @ Endor: Wurden denn die älteren nicht dem Signing unterzogen und nochmal geprüft? Das würde ich seltsam finden..

    Ich kann nicht sagen, ob und wie genau bei der ersten Signierung kontrolliert wurde.
    Jedenfalls wenn nur sehr oberflächlich. Ein Beispiel aus meiner Erfahrung:
    Habe eine deutsche Version von der signierten Erweiterung S3.Google Translator
    gemacht und hoch geladen zum Signieren. Wurde abgelehnt. Begründung:

    Zitat

    Your version was rejected because of the following problems:

    1) We don't allow add-ons to use remote scripts because they create serious security vulnerabilities. We also need to review
    all of your add-on code, and this makes it much more difficult. Please insert those scripts locally from your add-on code.
    chrome/content/translate.js#133

    2) Modifying global CSP settings are not allowed.

    Ich frage mich nun warum aber das Original signiert wurde obwohl dort ja alles identisch ist.

    Auf meine diesbezügliche Anfrage. bekam ich dann diese Antwort:

    Zitat

    the other add-on might have been mistakenly approved.


    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/124.0.2
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

    Zitat von Endor

    Ich kann nicht sagen, ob und wie genau bei der ersten Signierung kontrolliert wurde.

    Gar nicht. Es wurde alles signiert, was bereits durch Mozilla kontrolliert worden ist, nur durch die Einführung der Signaturpflicht sollte ja schließlich keine plötzliche Inkompatibilität entstehen, obwohl sich überhaupt nichts am Add-on geändert hat. Es wäre schlicht und ergreifend auch nicht möglich, dass Mozilla jedes Add-on nochmal neu überprüft, die Ressourcen hat Mozilla einfach nicht. Die ausstehenden Reviews abzuarbeiten ist ja so schon nur schwer zu bewältigen.

    Grundsätzlich hat die Signierung nicht viel direkt mit der Sicherheit der Add-ons zu tun, dafür gibt es Reviews und die gab es immer schon, wenn auch möglicherweise die Ansprüche heute höher sind als vor ein paar Jahren noch. Die Signierung hat mehr indirekt mit Sicherheit zu tun, weil Mozilla dadurch eine bessere Kontrolle darüber hat, welche Add-ons überhaupt installiert werden können, und es einfacher hat, etwas gegen Add-ons zu machen, die Schaden anrichten.

    Endor: Schreib doch mal Oleksandr, alias Pag77, an. Ich habe mit ihm bei der deutschen und den sorbischen Übersetzungen von Forecastfox (fix version) zusammengearbeitet. Er hat immer sofort geantwortet und scheint das sogar bei den Bewertungen auf AMO zu tun. Auf MozillaZine ist er unter Pag77 zu finden.

    Zitronella: Hast du gemerkt, dass du in die falsche Themengruppe gerutscht bis? ;)

    Grüße
    milupo

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

    Zitat von milupo

    Zitronella: Hast du gemerkt, dass du in die falsche Themengruppe gerutscht bis? ;)


    :shock: nein, nicht gemerkt. Sorry. (Wenn das ein Moderator liest, bitte in die richtige Rubrik z.B. Sicherheitsecke, schieben. Danke Edit: Danke fürs Verschieben)

    Aber ich habe jemandem von Mozilla diesen Thread zum Lesen gegeben. Er wird sich ab Montag darum kümmern.
    Beim kurzen Durchsehen vom Code sprach er schon von "dreist" und "gemein" und dass der Entwickler der Erweiterung ihnen bei Mozilla wohl schon bekannt ist. ;)

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Einmal editiert, zuletzt von Zitronella (9. August 2015 um 14:25)

    Zitat von Zitronella


    :shock: nein, nicht gemerkt. Sorry. (Wenn das ein Moderator liest, bitte in die richtige Rubrik z.B. Sicherheitsecke, schieben. Danke)


    Ich denke Erweiterungen & Themes. Es geht hier um Erweiterungen. Aber du bist nicht der/die Erste, der das verwechselt und du wirst auch nicht der/die Letzte sein.

    Zitat

    Beim kurzen Durchsehen vom Code sprach er schon von "dreist" und "gemein" und dass der Entwickler der Erweiterung ihnen bei Mozilla wohl schon bekannt ist. ;)


    Du redest jetzt von welcher Erweiterung? Von Test Your memory! oder S3.Google Translator?

    Grüße
    milupo

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

    Zitat von Zitronella

    von Test Your memory


    Ok. Ich habe nur gefragt, weil ich auf Endor zu S3.Google Translator geantwortet hatte.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress