Verseuchte Erweiterungen - Peinlich für AMO

    Zitat

    Mozilla hat zwei als experimentell gekennzeichnete Add-ons für den Browser Firefox entdeckt, die gefährliche Schadsoftware enthalten

    Wer diese Add-ons ohne Überprüfung installiert, ist selber schuld. Sie sind nicht ohne Grund noch in der Experimentierphase. Peinlich ists trotzdem.

    Unter "experimentell" verstehe ich etwas anderes als "möglicherweise kompromittierend".[1] So etwas ist schlicht inakzeptabel, nicht nur, aber insbesondere wenn man den sichersten Browser der Welt im Angebot zu haben behauptet. Und die Behauptung, täglich auf Viren zu prüfen und diese Erweiterungen monatelang zu übersehen ( :?: ) passen nicht zusammen.

    Alles im allen - eine "vertrauensbildende" Maßnahme - rückwärts.

    [1] Mozilla Originaltext:

    Zitat

    Experimentelle Add-on sind neuere Add-ons, die noch nicht den Veröffentlichungsprozess durchlaufen haben. Viele dieser Add-ons sind "Prototypen". Da sie noch nicht von unserem Moderatorenteam bewertet wurden, können sie ohne weiteres Alpha-, Beta- oder Vorveröffentlichungs-Charakter haben, sowohl hinsichtlich ihrer Qualität und Geschwindigkeit, als auch ihrer Funktionspalette.

    Seien Sie vorsichtig mit experimentellen Add-ons, denn sie wurden noch nicht von einem Moderator überprüft und können möglicherweise Schaden auf Ihrem Computer anrichten.


    Das verstehe ich als eventuell schädlich in Bezug auf die erwartete, aber möglicherweise in der Umsetzung fehlerhafte Funktion, nicht in Bezug auf Schadware. Wenn mann denn tägliche Scans verspricht, muß man es auch leisten. Kann man das bei experimentellen - i. e. nicht geprüften - Erweiterungen und Versionen nicht, darf man sie auf einem offiziellen Platz - wo ja bekanntlich demnächst auch kostenpflichtige Add-Ons angeboten werden sollen - nicht zum Download anbieten. Experimentell heißt für (vermutlich nicht nur) mich, im schlimmsten Fall wird ein Profil zerschossen, aber keinesfalls das System.

    Aus der von Heise zitierten Quelle:

    Zitat

    AMO performs a malware check on all add-ons uploaded to the site, and blocks add-ons that are detected as such. This scanning tool failed to detect the Trojan in Master Filer. Two additional malware detection tools have been added to the validation chain and all add-ons were rescanned, which revealed the additional Trojan in Version 4.0 of Sothink Web Video Downloader. No other instances of malware have been discovered.

    Was sollen sie machen wenn die verwendeten Virenscanner nichts finden?

    Zitat von heise:

    Zitat

    Etliche Antiviren-Programme, die Mozilla in seiner Meldung nennt, finden die Schädlinge jedoch – und zwar schon lange.

    Wobei nicht gesagt ist, daß diese Liste vollständig ist. Und dem ist nichts entgegen zu setzen:

    Zitat

    Eigentlich hätte Mozilla gewarnt sein müssen, denn bereits 2008 war ein Schädling in einem vietnamesischen Sprach-Pack aufgetaucht.

    (gleiche Quelle) Da darf man halt nicht bei den gewohnten, aber insuffizienten Scannern bleiben.

    Danke Danke MonztA, ich muß doch mal bei den echten AMOs ( http://www.amo-inc.com/ )vorbeischauen, an diese Abkürzung werde ich mich nie gewöhnen. (Habe auch hier nicht geguckt ;) ) Tschuldigung.

    Ist aber trotzdem ganz schön still hier. Aber ob nun experimentell oder nicht, die bösen Geister sind da, der Vertrauensverlust mehr oder weniger dahin - bei mir zumindest. Was heute gut, ist morgen schlecht. Es gibt ja auch die potentiellen Schläfer, die warten nur, knocken dann andere Erweiterungen gleich mit aus. Den Fall hatten wir auch schon.

    Cosmo hat da schon recht, wenn sie die zugesicherte Leistung nicht erbringen können, sollen sie es auch nicht erzählen. Und bezüglich "können möglicherweise Schaden auf Ihrem Computer anrichten", das können die anderen Extensions auch. Wenn Mozillas Scanner das Eine nicht finden, finden sie es auch nicht morgen in einem Update der empfohlenen Add-ons. Oder doch?

    Was sich da Mozilla leistet, das ist schon ein Nachdenken wert. Es ist egal ob Mozilla nun mein System abschießt oder ich mir, weil ich kein update mehr mache - mal krass ausgedrückt. Sicherheitshinweise ziehen da nun nicht mehr.

    Tóg go bog é

    Einmal editiert, zuletzt von S.i.T. (6. Februar 2010 um 21:18)

    Wo Leute etwas hochladen können, wird es auch immer ein Restrisko geben, dass etwas verseucht sein könnte. Es gibt keinen Scanner der alles kennt und auch wenn man mehrere benutzt bleibt die Chance bestehen, dass alle eingesetzten Scanner auf dem selben Auge blind sind.

    Aber klar. Vertrauen ist hin. Da gibts nix. Nie wieder Mozilla. Aller anderen sind besser. Und ich werfe ohnehin den ersten Stein. *kopfschüttel*

    bugcatcher, da hast vollkommen recht. Nur das wird ja nicht vermittelt.
    Auch auf Mozilla kommt "Vertrauen sie nur Quellen..." bei einer Installation eines Add-ons. Du erinnerst dich an die damalige Diskussion, das war zu der Zeit als wer von hier so ein ganz tolle Seite hatte, Vorläufer von erweiterungen.de (0-7- 1.0 oder so...). Und nun ist es Realität geworden.

    firefox schießt das System ab, die Updates von Virenscanner schießen auch alles ab... im Endeffekt kann man sagen, egal wo du hingehst, mach's beste draus. Was soll man nun den Leuten erzählen? Kein Newsfeed von Mozilla erzählt. Auch keine Warnmeldung auf Mozilla, welche Extension es betrifft. Nicht mal als eingeloggter User bekommt man etwas erzählt. Das ist das eigentlich traurige an der Meldung.

    Tóg go bog é

    Wobei... ich frage mich ja immer, wo heise das so herbekommt, oder andere... klappern die alle Extension ab oder ist das ein Schläfer, der Mozilla da was an den Karren flicken will, deswegen ein Tip hier und da... Vielleicht sind das auch ganz andere Gesellen, noch dunkler als Gevatter mit seinem Stern. Die Welt ist schlecht.

    Tóg go bog é

    Ich mache das nun so:

    Einmal im Monat mache ich sowieso ein Image von meiner C-Partion. Wenn ich das gemacht habe, dann schaue ich nach, wer ein Update von meinen Extensions bereithält (Thunderbird/Firefox). Die jage ich dann alle durch diese Seite http://www.virustotal.com/de/ und danach werden sie händisch aufgespielt. Das kostet viel Zeit, aber immerhin sind da angeblich 40 Scanner am werkeln. Und wenn meine Mozilla-Programme dann trotzdem umkippen, C'est la vie, wird eben das Image aufgespielt und Mozilla entlassen. Auf so eine Scheiße habe ich keinen Bock, schickes Familienhaus, von der Feuerwehr getestet, der Kripo abgenommen und nur wurmstichiges Mobiliar und eine lecke Gasleitung innen anzutreffen. Außen hui, innen pfui.

    Tóg go bog é

    @ Bugcatcher... na Text gelöscht? (Nachtrag) (muß ich hier nun machen, wie bei Bronski)

    ja genau, "Nizzer" war das, der so ne tolle Seite hatte. 6 Jahre schon her... uiui... aber damals hatten wir das mal durchgesponnen, was man in Firefox einschleusen kann, was nicht - so in der Art. Was dabei rauskam weiß ich nun nicht mehr, müßte man in den hintersten Winkeln des Forums suchen. Aber auf "uns" hört ja sowieso keiner :D ... 6 Jahre her schon her... ihr liebe Leut'.

    Aber zum Thema, das ist für Mozilla nun ein Problem. Am Montag werden die Newsecken voll davon sein, vielleicht kommt dann auch was von Mozilla selbst, wie sie das Problem angehen wollen. Denn was nutzt ein sicherer Firefox, den nackisch keiner haben will, nicht mal die Tapete, und dann so eine Geschichte.

    Nachschieber: Das macht nun die Runde, jetzt kommt auch noch Twitter ins Spiel. Es heißt:
    Firefox: Trojaner über offizielle Addon-Seite
    inifizierte Add-ons bei Mozilla
    Mozilla bestätigt Malware-Fund

    Ob das nun "rot untermalte"-Add-ons sind, völlig egal. Aber vielleicht gilt ja auch: Ist der ruf erst ruiniert, programmiert es sich ganz ungeniert.

    Tóg go bog é

    Zitat von bugcatcher

    Es gibt keinen Scanner der alles kennt und auch wenn man mehrere benutzt bleibt die Chance bestehen, dass alle eingesetzten Scanner auf dem selben Auge blind sind.


    Klingt nicht nur logisch, ist auch logisch. Und dennoch zu kurz.

    Einmal davon abgesehen, daß Mozilla selbst 9 Scanner aufgeführt hat, die die Schadware erkennen (wobei ich bereits darauf hinwies, daß es möglicherweise noch mehr gibt), und heise zufolge schon seit langer Zeit, ist es doch so: Mit AMO ist eine zentrale Stelle für Erweiterungen geschaffen worden, obwohl die meisten der mir bekannten Erweiterungen auch über die Homepages der betreffenden Autoren erhältlich sind. Mit AMO wird dem FF-Benutzer zumindest suggeriert (nicht nur aber nicht zuletzt durch den eigenen Anspruch, als "Mozilla's offizielle Seite für Add-ons" (so wörtlich, übersetzt von mir)), daß es sich hier um einen Ort handelt, an dem der FF-Benutzer ruhigen Gewissens seine Erweiterungen und Themes laden kann. Verstärkt wird dieser Anspruch dadurch, daß in den erweiterten Optionen des FF per Grundeinstellung - also von Mozilla bewußt so voreingestellt, gewissermaßen ein selbst ausgestellter Persil-Schein - die Warnung beim Versuch Add-ons zu installieren unter anderem für addons.mozilla.org deaktiviert ist.

    Mozilla möchte offensichtlich so viele Downloads von addons wie möglich auf die eigene Seite ziehen, und das heißt bei dem erreichten (und auch angestrebten) Marktanteil: hunderte von Millionen. Wer sich aber um eine solche Zentralisierung auf die eigene Downloadseite bemüht und weiß und will, daß die Zahl der Downloader so hoch ist, der muß sich darüber im klaren sein, daß seine Plattform (in allen ihren Details) im besonderen Maße Angriffsziel von Cyper-Kriminellen ist und demzufolge auch ein außerordentliches Maß an Aufwand betreiben, um deren Erfolge zu minimieren. Das scheint hier trotz der bereits in 2008 passierten Ereignisse (die ich in einem früheren Beitrag schon hingewiesen habe) nicht geschehen zu sein - zumindest nicht ausreichend. Im übrigen zwingt niemand Mozilla, den AMO-Service anzubieten, er existiert aus vermutlich strategischen Überlegungen. Es scheint, daß Mozilla der in diesem Umfang einzigartigen Möglichkeit zur Anpassung des Browsers durch Erweiterungen und Themes eine sehr hohe Bedeutung zumißt, weit höher auf jeden Fall, als diejenigen glauben, die (wie in der Vergangenheit hier und da zu lesen) der Meinung sind, daß Erweiterungen nur von einer verschwindenden Minderheit der Firefox-Benutzer verwendet würden. Wenn dieses Instrument nach hinten losschießt, geht folglich die ganze Strategie nach hinten los. Wenn der erforderliche Aufwand zur Absicherung mit allen denkbaren Möglichkeiten die Möglichkeiten von Mozilla übersteigen sollte, so muß man dort die Konsequenzen ziehen.

    Als vor knapp 10 Jahren der IE sich noch einsam in schwindelnden Höhen von über 90% Marktanteil bewegte und MS seinerzeit die Pflege der Sicherheit unverantwortlich durchhängen ließ, kam die Ausrede - auch der MS-Hofberichterstatter - daß das halt so sein müsse, weil wegen des hohen Marktanteils von IE die Schadware-Autoren sich halt fast völlig auf diesen konzentrieren würden. Absolut lächerlich und unverantwortlich. Mittlerweile hat sich das Bild deutlich verändert. Es ist also völlig konsequent und hat aber auch gar nichts mit Mozilla-Schelte zu tun, den Finger hier auf die Wunde zu legen, bevor sie zu einem Geschwür auswächst.

    Zitat von bugcatcher

    Aber klar. Vertrauen ist hin. Da gibts nix. Nie wieder Mozilla. Aller anderen sind besser. Und ich werfe ohnehin den ersten Stein. *kopfschüttel*


    Nichts ist klar. Aber wenn solche Ereignisse einreisen - und wie gesagt, es ist ja nicht das erste Mal - dann wird die Masse der Benutzer Mozilla-Produkte mit Risiko assoziieren und dann kann Mozilla seine ganzen startegischen Spiele (wie zum Beispiel in Minor-Updates zukünftig nicht nur Sicherheits-Updates, sondern auch Feature-Updates zu implementieren, oder Hingucker (soll es zumindest wohl sein) wie Personas) in die Tonne stampfen. Denn anderenfalls könnte(!) FF irgend wann einmal das traurige Ende seines Höhenfluges mit dem Image des Browser, der der sicherste der Welt zu sein behauptete, von dessen offizieller Addon-Seite wegen mangelhafter Kontrolle aber Schadware distribuiert worden ist, erleben.

    Es handelt sich hier um eine ernsthafte Angelegenheit. Diese eben nicht herunter zu spielen sondern ihr die Wertigkeit und die Bewertung zu geben, die sie verdient, hat nichts mit Steinen werfen zu tun. Mein Kopfschütteln gilt einer Reaktion, die aus jeder berechtigten Kritik (und wenn das ist keine ist, dann soll mal jemand sagen, was berechtigte Kritik überhaupt ist) einen Generalangriff stilisiert. Die aktuellen Ereignisse sind noch nicht der finale Schuß für den Fuchs (und andere werden morgen oder übermorgen ebenso ihr Jericho erleben), doch nach dem Fehler von 2008 hat man bei Mozilla den Ernst der Sache offensichtlich nicht richtig erkannt und entsprechende Maßnahmen getroffen. Sollte sich derartiges weiter wiederholen (weil man halt den falschen = unzureichenden Scanner-Park eingesetzt hatte), wird man Mozilla allerdings zu der traurigen Erkenntnis kommen, daß auch sie bei den Massen, die man über Jahre mit Fleiß und Anstrengung ins eigene Lager gezogen hat, keinen unbegrenzten (Vertrauens-)Kredit haben. Mal abwarten, welche Konsequenzen Mozilla daraus zieht, eventuell auch personelle und wer dann darüber den Kopf schüttelt.

    Überdies: Die offenkundig nicht ausreichende Sicherheitskontrolle bei AMO ist nicht zuletzt auch ein Schlag ins Gesicht der tausende von freiwilligen und unbezahlten Erweiterungs-/Themes-Autoren, ohne die das breite (massive untertriebene Formulierung) Angebot und somit AMO als Plattform in diesem Umfang gar nicht existieren würden. Geschätzt 99% dieser Autoren wollen keinen Schadcode unters Volk bringen, sondern sind stolz darauf, der Gemeinschaft einen Beitrag leisten zu können. Was sie wollen ist (so schätze ich mal) die Anerkennung durch Bewertungen und Download-Zahlen. Diese bestätigen den Autoren, daß sie tatsächlich auf Anerkennung durch die Benutzer treffen. Ein Imageschaden, wie er durch solche Meldungen zwangsläufig eintritt ist wegen der Bedeutung von AMO in diesem Zusammenhang also auch ein Schaden für diese Autoren und diese werden sich dem - vielfach vielleicht unausgesprochenen - Verdacht ausgesetzt sehen, daß man erst einmal Böses unterstellen muß. Im Wiederholungsfall wird der eine oder andere möglicherweise gefrustet den Bettel hinwerfen. Leidtragende sind wiederum die Benutzer, aber in der Konsequenz auch AMO und letztlich der Browser selber.

    Der Vollständigkeit halber sei noch hervorgehoben, daß sich einmal mehr zeigt, welche Vorteile die Verwendung eines Benutzerkontos mit eingeschränkten Benutzerrechten hat. Denn in diesem Fall kann keine Schadware das System kompromittieren. Es ist bedauerlich, daß auch heise nicht bei seiner Empfehlung im letzten Absatz seines Artikels darauf hinweist.

    Zitat von Boersenfeger

    Das sagt für mich schon aus, das man ggf. sein System kompromitieren könnte...


    Nachtrag (siehe auch meine erste Antwort zu dieser Meinung):
    Wenn das so wäre, so müßte man davon ausgehen, daß Mozilla bei den experimentellen Add-ons einen kleineren Scanner-Fuhrpark einsetzt als bei den grünen oder gar bei den empfohlenen.

    Sollte das so sein, so wäre es gleichbedeutend damit, daß es Scanner-Lücken und Mängel gibt; zu rechtfertigen wäre das nicht.

    Sollte dem nicht so sein, so gibt es keinen Grund davon auszugehen, daß sogar empfohlene nicht möglicherweise ebenfalls das System kompromittieren können, denn wenn es keine besonderen Scans gibt, ist das Schadware-Risiko bei den nicht-experimentellen exakt genau so hoch wie bei den experimentellen.