Extension installiert sich ohne eigenes Zutun

  • Hallo,

    ich nutze Win7 64 pro mit FF 31.7 ESR.

    Heute morgen hat sich eine Extension installiert OHNE dass ich sie installiert hätte. Zum Rechner hat auch sonst niemand Zugang und das System ist lt. regelmäßigen Scans mit ESET, Malwarebytes und AdwCleaner sauber, auch jetzt aktuell.

    Die Extension hat den Namen {2eb614a2-e8ed-4b69-a11a-d941116a8bd7} 0.6, nennt keinen Autor und ist nicht signiert.
    Im Win Explorer ist die namensgleiche Datei zu finden unter:
    C:\Users\fjord\AppData\Roaming\Mozilla\Firefox\Profiles\bur49ud4.default\extensions und
    C:\Users\fjord\AppData\Local\Mozilla\Firefox\Profiles\bur49ud4.default

    Von den Ordnerinhalten macht es den Eindruck, dass es sich um Mozilla / FF Daten handelt.

    Wie ist es zu erklären, dass eine XPI sich ohne Zutun selbst installiert?

    Danke und Grüße

    fjord

  • Du hast wahrscheinlich ein Programm installiert, irgend eine Freeware, dabei hast Du diese Erweiterung als „Zugabe“
    erhalten. Schau mal was Du als letztes so installiert hast.
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/124.0.1
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Ich hatte neulich auch wieder zwei mir unbekannte Erweiterungen in meinem Hauptprofil, wo ich nicht weiß woher sie kamen. Eine davon war auch unter Addons-Erweiterungen zu sehen und nannte sich TabConverterPlus
    [Blockierte Grafik: http://i.imgur.com/ZjnIjIFs.png]
    Die andere entdeckte ich (zufällig) in den Informationen zur Fehlerbehebung mit dem Namen {1556b88c-c92e-43d5-99ed-c6f9c717e0b6} denn unter Addons->Erweiterungen war sie gar nicht aufgeführt.
    Hier ein Ausschnitt davon:

    Damals machte ich noch einen Screenshot was davon in about:config zu sehen war
    [Blockierte Grafik: http://i.imgur.com/fBTRYgAs.png]
    und
    [Blockierte Grafik: http://i.imgur.com/nZ7DWJhs.png]

    Ich habe heute noch einmal das alte Profil geladen und nochmal in about:config geschaut und es ändert sich in
    [Blockierte Grafik: http://i.imgur.com/PAYKt4ns.png]
    und
    [Blockierte Grafik: http://i.imgur.com/13DPiMos.png]

    AdwCleaner findet nichts und auch google nicht. Irgendwie werde ich den Verdacht nicht los, dass eine andere Erweiterung da etwas rein schleust. Ich kann mich dunkel erinnern, dass wir hier so etwas schon mal hatten und dahinter die Erweiterung "YouTube Unblocker" im Visier hatten. (Bei Gelegenheit stöbere ich mal Edit: gefunden https://www.camp-firefox.de/forum/viewtopic.php?f=4&t=106620 ).
    Die beiden Erweiterungen habe ich mir übrigens gesichert und kann sie gerne weiter geben wenn gewünscht, oder sagen was in ihnen drin steht, wenn man sie entpackt.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • ich hatte seit Tagen nichts mehr installiert;

    als ich die genannte Erweiterung entdeckt hatte, habe ich sie deaktiviert, ergab jedoch keine wahrgenommene Veränderung;

    zwischenzeitlich hatte ich unter about:config den EIntrag browser.addon-watch.ignore gefunden,
    dort waren 2 Zeilen zu lesen, die ich mir leider jedoch nicht kopiert hatte.
    Heute ist nur noch diese 1 Zeile vorhanden:
    browser.addon-watch.ignore; Typ= string; Wert={2eb614a2-e8ed-4b69-a11a-d941116a8bd7}

  • Zitat von Fox2Fox

    Google zeigt zu dieser Erweiterung kein Ergebnis.


    Das ist sicherlich auch keine echte Erweiterung. Da hat jemand irgendein xpi zusammengebastelt, das vielleicht nicht mal Funktionalität bietet.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Ich habe auf meinem PC weiter geforscht und folgendes gefunden:

    alle aufgeführten Funde haben identische (sekundengenaue) Modifizierungszeiten;
    Funde sind in meinem FF-Profil bur49ud4.default:
    1. die beiden im Startthread genannten Dateien 2eb614a2-e8ed-4b69-a11a-d941116a8bd7;
    2. die im Profil liegende secmodd.db (secmodd mit dd !!; gibt´s nur wenige Einträge in google)
    mit Inhalt {"extensionId":"{2eb614a2-e8ed-4b69-a11a-d941116a8bd7}"};
    3. und die im Profil unter extensions\youtubeunblocker@unblocker.yt\resources\unblocker-api\lib
    liegende Datei utils.js (wenn es interessiert, kann ich ein Sreenshot einstellen).

    Sieht also so aus als wenn der youtube unblocker selbständig eine neue .xpi anlegen könnte.
    Bislang war ich (warum auch immer) davon ausgegangen, dass man eine .xpi Installation bestätigen muss.
    Scheint wohl nicht so zu sein.

    Übrigens habe ich den youtube unblocker in der Version 0.6.10. Laut Addon-Darstellung ist er unsigniert.

    Zitronella deutete auch einen Hinweis zu dem unblocker an.
    siehe auch in seinem Post den Link: https://www.camp-firefox.de/forum/viewtopic.php?f=4&t=106620

  • Zitat von Sören Hentzschel

    worauf bezieht sich das?


    Beitrag #4 von Zitronella: browser.addon-watch.ignore

    Zitat von Zitronella

    AdwCleaner findet nichts und auch google nicht. Irgendwie werde ich den Verdacht nicht los, dass eine andere Erweiterung da etwas rein schleust.

  • Was soll ich sagen. Ich habe auch noch einen portablen Firefox den ich allerdings sehr selten nutze aber auch dort den ytunblocker installiert. Letztes Aktualisierungsdatum ist 27.05.2015 und es gibt wieder 2 Erweiterungen die an diesem Datum angelegt wurden. Eine davon wird unter dem Namen "MPEG4 Player" geführt und hat die ID {f4936647-2afe-4c55-9f62-e11eeabdb8e6}. Die andere wird wieder nur unter den Infos zur Fehlerbehebung aufgelistet mit ID {461b4c37-40a4-4ab6-8342-9a2a677413f7} <-- diese weist in der install.rdf folgende Update URL auf:

    Code
    <em:updateURL>https://ping.mozversioncheck.com/addon/firefox/update.rdf?guid=%ITEM_ID%&version=%ITEM_VERSION%</em:updateURL>

    kommt mir nicht gerade vertrauenswürdig vor oder?
    In meinen Post4 erwähnte ich ja die Erweiterung {ec8030f7-c20a-464f-9b0e-13a3a9e97384} diese hat in der install.rdf folgende URL:

    Code
    <em:updateURL>https://bw9210.virtualcloudnow.com/addon/firefox/update.rdf?guid=%ITEM_ID%&version=%ITEM_VERSION%</em:updateURL>

    Im Unterordner jetpack war auch ncohmal ein Ordner namens {f4936647-2afe-4c55-9f62-e11eeabdb8e6} aufgeführt.

    Natürlich hab ich alles dann gelöscht.

    Vom Aufbau sind die beiden von Beitrag 4 aus meinem Arbeitsprofil zu den beiden in meinem portablen Profil fast identisch. Bis auf kleine Änderungen im Namen und der update URL sind die MD5 Prüfsummen der meisten Dateien komplett gleich.

    Da ich meine Profile auch nochmal nach Inhalt in den Dateien hab scannen lassen und konkret nach der ID gesucht habe fiel mir noch die Datei "secmodd.db" (wirklich mit den 2 d geschrieben" im Profilordner gefunden die folgenden Inhalt aufwies:

    Code
    {"extensionId":"{461b4c37-40a4-4ab6-8342-9a2a677413f7}","uuid":"35891c6a-e21f-417d-80eb-a33de2c7d463"}

    Was zur Hölle ist da nur los und woher kommt das alles? :-???

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • nein. In der einen steht in der Config.js

    Code
    apiURL: 		'http://cache.virtualcloudtech.com'


    in der anderen steht in der Config.js

    Code
    apiURL: 		'http://bw9210.virtualcloudnow.com'

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • auch OSX 10.9.5. haben dieses Phänomen der zwei unerwünschten Erweiterung. Der Aufbau ist wieder identisch mit meinen oben geposteten.

    Eine davon ist

    Code
    Name: {644cfba7-beab-4925-89af-0bd211e65395} Version: 0.6 Aktiviert: true ID: {644cfba7-beab-4925-89af-0bd211e65395}

    und ist nur in den "Informationen zur Fehlerbehebung" sichbar

    die andere ist auch unter Add-ons-->Erweiterungen sichtbar

    Code
    Name: video extension Version: 9.3 Aktiviert: false ID: {421c68d8-a96d-40cb-8d1d-8b67cfbc9a95}


    von dieser gibt es auch den Ordner {421c68d8-a96d-40cb-8d1d-8b67cfbc9a95} im Ordner "jetpack"

    Der betreffende Nutzer hat auch die Erweiterung YouTube Unblocker Version: 0.6.14 installiert.

    Hier wurde schon vor einem Jahr der Verdacht geäußert https://addons.mozilla.org/de/firefox/add…reviews/610794/ Edit: Link erneuert https://web.archive.org/web/2014090303…locker/reviews/

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Einmal editiert, zuletzt von Zitronella (4. März 2016 um 21:45)

  • Bedenken bezüglich YouTube Unblocker würde ich sofort unterschreiben. Darum hatte ich auch abgelehnt, als die Macher dieses Add-ons bei mir angefragt hatten, ob ich nicht einen Artikel über dieses Add-on veröffentlichen könnte. Es gab auch einen Austausch per E-Mail, in welchem meine Zweifel ob der Datenschutzerklärung / Nutzungsbestimmungen nicht beseitigt werden konnten.

  • kann ich verstehen. Nur kann sich jemand nicht mal den Code genauer angucken (ich kenn mich damit leider zu wenig aus) und herausfinden wie das ganze von statten geht. Irgendwie muss es da ja eine Lücke geben wenn 2 Erweiterungen einfach im Hintergrund installiert werden können.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Mir fällt innerhalb des Codes der Erweiterung in der Version, die es derzeit über die Webseite gibt, nichts in diese Richtung auf. Nur halt Code, um Werbung auf Webseiten anzuzeigen, aber das ist ein anderes Thema. Ich weiß auch nicht, ob Add-ons dazu überhaupt in der Lage sind, weitere Add-ons zu installieren, die Installation von Add-ons kann auf üblichen eigentlich nicht ohne Zustimmung des Nutzers erfolgen, daher kann ich mir eigentlich nur eine Software auf dem System vorstellen, welche die Mechanismen von Firefox umgeht. Auf jeden Fall sind wir da bei dem Thema, wieso die Signierung von Add-ons einfach notwendig ist.