Google macht den Browser Chrome wieder ein wenig sicherer – wenn man die Tatsache, dass sich Erweiterungen nur noch aus dem offiziellen Chrome Web Store laden lassen, als Sicherheits-Feature sehen möchte. Bislang war es auch externen Seiten möglich, dass diese Erweiterungen zur direkten Installation anboten, die Zeiten sind nun vorbei.
(http://img98.imageshack.us/img98/8751/climsyclipboardnl.jpg)
Zwar kann man immer noch extern Erweiterungen für Chrome zum Download anbieten, eine Inline-Installation ist aber nicht möglich und Google quittiert das Ganze (http://support.google.com/chrome_webstore/bin/answer.py?hl=en&answer=2664769&p=crx_warning) auch mit der Meldung, dass sich Apps, Erweiterungen und Skripte nur noch aus dem Chrome Web Store hinzufügen lassen.
Quelle: Caschys Blog (http://stadt-bremerhaven.de)
Nicht lange ist es her, da hat Google die Daumenschrauben ein wenig enger gezogen. So war es dann nicht mehr so einfach möglich, Erweiterungen für Chrome zu installieren, wenn diese nicht direkt aus dem Chrome Web Store stammten. Doch das System krankt immer noch etwas, die Offenheit hat nicht nur Vorteile, wie eine Sicherheitsfirma entdeckt haben will (https://www.barracudanetworks.com/blogs/labsblog?bid=3103).
(http://imageshack.us/a/img7/2029/badpigs2installangrybir.jpg)
Unter dem Deckmantel der populären Spiele aus dem Hause Rovio hat man einige Erweiterungen und WebApps gebastelt, die dem Benutzer zwar keine Schadsoftware im eigentlichen Sinne unterjubelte, sondern die Erweiterungen gingen perfider vor, um die Entwickler mit ein wenig Geld zu versorgen.
Im konkreten Beispiel ging es um Bad Piggies von Rovio. Brandneues Spiel mit Suchtfaktor. Logisch, dass viele danach suchen. Unter dem Namen Bad Piggies oder Angry Birds Bad Piggies (und anderen) hat dann der Entwickler hinter playook.info diverse Spiele a la Angry Birds veröffentlicht, diese funktionierten auch – war zwar nicht Bad Piggies, sondern irgendein Abklatsch, jubelten aber geschickt Werbung unter. Im Spiel? Das wäre ja unter Umständen noch ok gewesen.
Das Spiel forderte erst einmal Daten auf allen Webseiten ein (erster Screenshot). Da achtest du drauf, da achte ich drauf. Da achten aber genug Leute eben nicht drauf. Spiel installiert, Zugriff auf alle Daten – Party on.
(http://imageshack.us/a/img856/9183/badpigs5moviesyahoowith.jpg)
Das Spiel sorgte dafür, dass auf populären Webseiten – wie zum Beispiel auf Yahoo.com – zusätzliche Werbung eingeblendet wird. Nicht nur Yahoo ist betroffen, auch PirateBay, 9gag, MSN, ebay und Co. Die Sicherheitsfirma hat zusammengerechnet – ihr sind bis dato 83.000 Installationen solcher Spiele unter die Lupe gekommen. Ich habe das mal überprüft, die verlinkten Spiele sind nicht mehr zu finden, wohl aber agiert die Firma wieder mit den gleichen Spielen unter den gleichem Namen, nur die Erweiterungs-URL ist eine andere.
In diesem Sinne: Augen auf beim Eierkauf, seid wachsam, passt auf was ihr installiert und sensibilisiert euer Umfeld – man hat ja immer so Raketenforscher dabei… (ja ich weiss,wer Apps mit diesen Rechten installiert ist selber schuld – dennoch.)
Quelle: Caschys Blog (http://stadt-bremerhaven.de)