Die Chromium-Basis des rundum erneuerten Edge-Browsers ermöglicht die Nutzung von Chrome-Erweiterungen in Microsofts Edge und erleichtert Entwicklern so die Arbeit. Die Kehrseite ist, dass der offizielle, momentan noch als Beta-Version gekennzeichnete Edge-Webstore (microsoftedge.microsoft.com) auch mit einem steigenden Aufkommen an schädlichem oder potenziell unerwünschtem Add-on-Code zu kämpfen hat – eine Annäherung an Chrome, Firefox und Co. in negativem Sinne. Fünf Add-ons hat das Unternehmen am vergangenen Wochenende aus dem Store gelöscht: Nutzer hatten unerwünschte Werbeeinblendungen beobachtet.
Verseuchte Kopien beliebter Originale
Die als NordVPN, Adguard VPN, TunnelBear VPN, The Great Suspender und Floating Player — Picture-in-Picture Mod getarnten Extensions brachten die (geklauten) Funktionen ihrer bekannten Vorbilder mit. Der Code dürfte aus Chromes Web Store stammen, da von den genannten Add-ons bislang offenbar nur der Floating Player direkt über Microsofts Edge-Store verfügbar ist. So verweist etwa das NordVPN-Team in einer Installationsanleitung zur Extension in Edge explizit auf den Chrome Web Store als Download-Quelle auch für Edge.
Die unerwünschte Zusatzfunktion der Kopien bestand laut mehreren Nutzerberichten auf der Social-News-Website Reddit darin, dass Nutzer beim Anklicken von Google-Suchergebnissen zu Werbeanzeigen umgeleitet wurden. Wie Ars Technica berichtete, wurden im Zuge der Redirects häufig die Domains oksearch[.]com und cdn77[.]org verwendet. Durch vorübergehendes Deaktivieren der betreffenden Add-ons konnten die Nutzer das unerwünschte Verhalten zuordnen. Ob der Code noch weitere Schadfunktionen enthielt, ist unbekannt.
Add-ons teils rund zwei Monate im Store
Eine Edge-Community-Managerin hat die Löschung der gefälschten Add-ons durch Microsoft bestätigt. Auch das TunnelBear-, das AdGuard- und das NordVPN-Team räumten die Vorfälle ein; die übrigen Hersteller äußerten sich noch nicht.
Über das Internetarchiv "Wayback Machine" abrufbare Kopien der mittlerweile nicht mehr verfügbaren Edge-Store-Seiten mit den Add-on-Fälschungen zeigen, dass diese teils schon rund zwei Monate online waren: Einige der Apps wurden Ende September zuletzt aktualisiert.
In einem Kommentar vom 17. Oktober 2020 auf der gefälschten NordVPN-Downloadsite (Kopie bei Wayback Machine) berichtet ein Nutzer, das Team von NordVPN kontaktiert zu haben; man habe ihm bestätigt, dass es sich nicht um die offizielle Erweiterung handele. Warum die Löschung dennoch erst vor ein paar Tagen erfolgte, ist unklar. heise Security hat diesbezüglich bei NordVPN und Microsoft nachgehakt, Antworten stehen noch aus.
Kopien zügig löschen
Anwender, die die genannten Extensions von einer der nachfolgenden (nicht mehr erreichbaren) Store-Seiten heruntergeladen haben, sind dem Betrug aufgesessen und sollten sie zügig deinstallieren.
- Adguard VPN
- The Great Suspender
- Floating Player — Picture-in-Picture Mode
- NordVPN
- TunnelBear VPN
Beim Great Suspender ist die Sachlage möglicherweise noch etwas anders als bei den übrigen Add-ons: Eine (bereits vor knapp drei Wochen begonnene) Diskussion im Projekt-Repository bei GitHub weist darauf hin, dass der neue Maintainer des Projekts nicht vertrauenswürdig sei und die Redirects zur Werbung von diesem wohl bewusst eingebaut wurden. Dementsprechend sollten Nutzer browserübergreifend eine Deinstallation erwägen.
Quelle: Gefälsche Add-ons für den Edge-Browser in Microsofts Store blendeten Werbung ein | heise online