Sparalarm von Chip.de geblockt

  • Abermals möchte ich vor chip.de warnen ich hatte es hier Warnung vor Downloads auf chip.de schon einmal getan, dort ging es aber allgemein um Downloads und zwar um die manuellen Downloads, der eine von Mozilla nicht frei gegebenen Firefox herunter lud.


    Jetzt möchte ich über den Installer berichten. Ich schreibe das hier in diese Rubrik Allgemein, da es um die allgemeine Sicherheit von Firefox geht, die hier untergraben wird. (Falls Admin/Mod anderer Meinung sind kann es auch gerne verschoben werden)


    Den Chip Installer bekommt man wenn man innerhalb des roten Rahmens drauf klickt

    Einmal ausgeführt, lädt er das Programm später runter, doch erst einmal werden diverse "Sponsored Angebote" versucht einem unter zu jubeln, die man nur wenn man genau aufpasst abwählen kann (wie bei x anderen Installern eben auch). Die Angebote wechseln immer und man wird heute nicht mehr die gleichen erhalten wie vor 3 Tagen.


    Soweit nix neues.

    Ein "Angebot" davon war Sparalarm, habe ich erst weg geklickt, nach der Aufforderung Wollen sie wirklich blablabla dann doch auf ja geklickt und das Ding installiert. Ist ja nur ne Erweiterung ... aber weit gefehlt.

    Das Teil installiert sich nach Program Files (x68)\sparalarm und installiert im Firefox die Erweiterung Sparalarm.

    Wer nun denkt er könne einfach wieder die Erweiterung entfernen und sparalarm via Systemsteuerung auch. Kann man machen und es ist zunächst auch alles weg aber klammheimlich hat sich bei der Installation auch eine user.js in die Firefox-Profile geschoben und nachdem die prefs.js die Werte von der user.js übernommen hat, wurde diese user.js auch wieder gelöscht.


    In der prefs.js stehen nun die manipulierten Einträge wie

    Ein gefälschter Server für die Blocklist URL (zu moziIIa.com also zu moziiia.com denn die beiden II sind keine kleinen L sondern große i )

    Die Telemetrie Daten werden auch an gefälschte Server geschickt (moziiia.org)

    Die Liste für geblockte Erweiterungen wird deaktiviert und somit können schädliche Erweiterungen nicht mehr geblockt werden durch diese Liste

    usw.


    Ich habe das alles dokumentiert gemeldet an einen Addon Reviewer und das führte letztendlich zur Blockierung

    https://blocked.cdn.mozilla.ne…e2-90fd-685fd106fc3d.html

    https://bugzilla.mozilla.org/show_bug.cgi?id=1586677


    Die Erweiterung an sich war wahrscheinlich nicht einmal schädlich, aber die Art und Weise wie diese verteilt wurde
    in dem der Standard-Sideloading Prozess aushebelt wurde und die Zustimmung des Users umgangen wurde, führte zur Blockierung.


    Man kann auch davon ausgehen, dass die Person/Firma, die das Sponsoring im Installer gebucht hat, auch der Autor der Erweiterung ist.

    in dem Fall wohl

    sparalarm.chip.de/impressum (gleich mal auf archive.org verlinkt, falls die Seite mal weg verschwinden sollte :whistling:)


    Jetzt darf sich jeder selbst ne Meinung bilden über diese Seite. :evil: und gucken ob man selbst betroffen ist/war.


    //hm. Cliqz und Burda seh ich da. Gibt es da eigentlich aktiv noch eine Partnerschaft mit Mozilla oder war das mal?

    Hilfe auch im deutschsprachigen Firefox-Chat möglich.
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • //hm. Cliqz und Burda seh ich da. Gibt es da eigentlich aktiv noch eine Partnerschaft mit Mozilla oder war das mal?

    Mozilla besitzt eine strategische Minderheitsbeteiligung an der Cliqz GmbH: Mozilla tätigt strategische Investition in Cliqz, um Innovationen bei der Websuche im Bereich Datenschutz zu ermöglichen. Die Cliqz MyOffrz GmbH ist eine eigenständige Firma, die von Cliqz gegründet wurde, mehr Informationen hier: Browser-based Performance Marketing ermöglicht Targeting mit Datenschutz. Mit Burda hat Mozilla nichts direkt zu tun. Burda ist Mehrheitseigentümer der Cliqz GmbH und Eigentümer von chip.de.


    Mozillas Beteiligung an der Cliqz GmbH ändert natürlich nichts am Vorgehen, wenn die Praktiken bezüglich der Erweiterungs-Installation eines Produktes einer Tochterfirma nicht den Richtlinien entsprechen. Das sehen wir an dem Fall ja, dass die Erweiterung blockiert wurde, wie jede andere Erweiterung unter den gleichen Voraussetzungen auch blockiert worden wäre. Danke für deine Recherche und das Melden an Mozilla.

  • Danke für die Links. Ich fand auch noch https://www.mozilla.org/de/pri…ve/firefox-cliqz/2018-06/

    Darin steht u.a.

    Zitat

    Einer unserer Technologiepartner ist die Cliqz GmbH, ein deutsches Unternehmen im Besitz von Hubert Burda Media und Mozilla, dem Entwickler von Firefox.

    Den Satz kapier ich nicht ganz. Wer (welcher Name?) ist nun Entwickler von Firefox?

    Mozillas Beteiligung an der Cliqz GmbH ändert natürlich nichts am Vorgehen, wenn die Praktiken bezüglich der Erweiterungs-Installation eines Produktes einer Tochterfirma nicht den Richtlinien entsprechen.

    Das hätte ich auch nicht anders erwartet, ansonsten wäre das mehr als unseriös. Was mich wundert ist diese Partnerschaft bzw. Minderheitenbeteiligung mit einem Unternehmen, was solche Methoden anwendet.


    Ein weiterer Link zu o.g. (geblockten) Erweiterung sagt

    Wie bei einem klassischen Affiliate-Geschäft erhält CHIP Sparalarm bei Kaufabschluss oder Lead-Generierung eine Provision von den jeweiligen Anbietern.

    Genau darum scheint es zu gehen. Das Geschwurbel davor von Datenschutz usw. können sie sich sparen wenn sie Methoden anwenden, die Sicherheiten von Firefox deaktiviert, Telemetriedaten an falsche Server schicken usw.


    Dass die Erweiterung wohl ausschließlich durch o.g. Methode installiert wurde sieht man auch gut auf der (inzwischen geschlossenen) Seite von AMO

    Screenshot aus Google Cache vom 6.10.18



    970 Benutzer und keine einzige Bewertung, was darauf hin deutet, dass die Installionen keine bewusste Entscheidung der Nutzer waren.

    Das gleiche Vorgehen war übrigens schon bei Francezon (auch eine inzwischen geblockte Erweiterung die ich gemeldet hatte mit dem gleichen Vorgehen durch den chip Installer. Bei https://app.any.run/tasks/a5c0…7-45c3-a720-d5f62c0837d2/ kann man das Verhalten wie es vonstatten geht sich sehr gut ansehen. Die dort aufgeführte instui.exe zeigt bei "More Infos" wohin was installiert wird inkl. der Daten der user.js

    Diese Erweiterung hatte übrigens 47.878 Benutzer und auch keine einzige Bewertung. (somit wohl auch nur durch o.g. Methode unfreiwillig installiert worden)


    Nur der Vollständigkeit halber: Der Installer von ComputerBild hat ähnliche/gleiche Methoden. Führte auch durch meine Meldung zur Blockierung von ShoppingGuru


    Ich fände es sauberer, wenn Mozilla komplett frei von Firmen wäre, die solche Methoden anwenden.

    Hilfe auch im deutschsprachigen Firefox-Chat möglich.
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • Den Satz kapier ich nicht ganz. Wer (welcher Name?) ist nun Entwickler von Firefox?

    Mozilla - die direkt davor stehen. ;) Beachte auch, dass sich dieser Datenschutzhinweis auf ein Experiment bezieht, welches nicht länger aktiv ist. Darum befindet sich dieser Datenschutzhinweis mittlerweile auch in einem Archiv (siehe URL).

    Was mich wundert ist diese Partnerschaft bzw. Minderheitenbeteiligung mit einem Unternehmen, was solche Methoden anwendet.

    Naja, der Spararlarm ist ein Projekt von chip.de, hinter denen Burda steht. Die haben ihre eigenen Interessen und die Technologie von der Cliqz MyOffrz GmbH, mit denen Mozilla ja nicht zusammenarbeitet. Mozilla hat eine Minderheitsbeteiligung am Mutterunternehmen Cliqz GmbH und zwar, weil die erstens gute Datenschutztechnologie entwickeln und zweitens im Bereich Websuche etwas entwickelt haben, woran Mozilla interessiert ist oder war. Inwieweit derzeit überhaupt noch eine aktive Zusammenarbeit stattfindet, weiß ich gar nicht. Denn für Firefox ist derzeit nichts in diese Richtung in Planung. Aber auch wenn keine aktive Zusammenarbeit stattfindet, dürfte eine Beteiligung Mozilla zumindest ein paar Einnahmen bringen und Mozilla unabhängiger von Google machen. Klar dürfte das nicht viel ausmachen, aber man sieht ja, dass Mozilla versucht, seine Einnahmen-Kanäle zu erweitern (Pocket, Premium-Angebote). Aber bevor man auf falsche Gedanken kommt: vom Sparalarm und deren Methoden dürfte Mozilla nicht profitieren, da das ja in eine eigene Gesellschaft ausgelagert ist.

  • Mozilla - die direkt davor stehen. ;)

    *kopfklatsch* irgendwie habe ich den Satz immer mit falscher Betonung, falscher Kommainterpretation gelesen. Einmal richtig gelesen und man schlägt sich an den Kopf... wie konnte ich nur. =O


    Inwieweit derzeit überhaupt noch eine aktive Zusammenarbeit stattfindet, weiß ich gar nicht.

    ok. nicht weiter schlimm. Genau das hätte mich nämlich interessiert. Aber vielleicht erfährt man irgendwann mal etwas mehr darüber. Wahrscheinlich spätestens dann, wenn die Zusammenarbeit beendet wird.

    Hilfe auch im deutschsprachigen Firefox-Chat möglich.
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

  • uii, gerade gelesen https://www.heise.de/newsticke…rweiterungen-4575039.html

    Sehr gute Entscheidung, wie ich finde. Das nimmt nämlich überhand und die Analyse von solchem Vorgehen wie beim o.g. Sparalarm von chip.de ist sehr schwierig und aufwändig.

    Hilfe auch im deutschsprachigen Firefox-Chat möglich.
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden
    ;)

    Einmal editiert, zuletzt von Zitronella ()

  • Änderung passiert schrittweise

    Die Änderung passiert nicht von jetzt auf gleich: Mit der Veröffentlichung von Firefox 73 am 11. Februar 2020 wird der Browser die übers Sideloading geladenen Erweiterungen einlesen und im individuellen Nutzerprofil ablegen. Die Nutzer können sie als reguläre Addons installieren. Mit Firefox 74, der am 10. März erscheinen soll, wird der Browser das Sideloading dann nicht mehr unterstützen. Die Zwischenphase mit Version 73 soll dafür sorgen, dass installierte Addons nicht plötzlich verloren gehen. Entwickler, die das Sideloading verwenden, müssten ihren Installationsprozess anpassen. (dbe)

    Darauf bezog ich mich, dass die Leute, die das machen sollen, auch wissen, was sie da machen sollen.