Erweiterungen für Browser Chrome blenden Werbung ein
Vierstellige Dollarbeträge investieren Werbetreibende, um ihre Anzeigen via Chrome-Add-on zu platzieren. Anwender und Google haben bislang keine Handhabe dagegen.
In mindestens zwei Fällen haben bislang unbekannte Personen Entwicklern ihre für Googles Browser Chrome geschriebenen Add-ons abgekauft. Die anschließend von den neuen Besitzern bereitgestellten Updates enthielten keine neuen, nützlichen Funktionen, sondern blendeten Werbung ein. Das berichtet Ron Amadeo auf ars technica.
So erhielt der Entwickler einer Erweiterung für den RSS-Reader Feedly einen vierstelligen Dollarbetrag, damit er das Programm einer Unbekannten überschreibt. Der Geldtransfer erfolgte per PayPal. Kurz danach sei im Chrome-Store eine neue Version des Add-ons aufgetaucht. Ihre einzige Neuerung sei das Einblenden von Werbung gewesen, sehr zum Ärger der Anwender. Da sich Chrome-Add-ons automatisch aktualisieren und es keine öffentlichen Informationen über den Eigentümerwechsel gab, konnten sie der Werbungsattacke kaum entkommen.
Amadeo berichtet über einen weiteren Fall, in dem ein Add-on per Update zu einem Werbeverteiler mutierte. Nach kurzer Zeit sei sein Browser nicht mehr benutzbar gewesen, berichtet der Autor. Da die Extensions per Google-Account auf allen Geräten synchron gehalten werden, sei auch sein Chromebook befallen worden. Letztlich bleibe keine andere Wahl, als die Erweiterungen per chrome://extensions oder Einstellungsmenü komplett zu entfernen.
Chrome-Erweiterungen müssen zwar nach einer Erlaubnis des Anwenders fragen, bevor sie den Inhalt von Webseiten verändern dürfen. In diesem Fall gehe es jedoch um "Zugriff auf Ihre Daten auf allen Web-Seiten", wonach ohnehin viele, gutartige Add-ons verlangten.
Bereitgestellt werden die Add-ons über einen als vertrauenswürdig geltenden Store. Mitte 2013 hatte Google dort eine strengere Prüfung der Anwendungen eingeführt. Es ist aber nicht klar, ob sie nur beim erstmaligen Hochladen oder für jede Aktualisierung stattfindet, und ob sie bösartige Add-ons wie die jetzigen überhaupt entdeckt: Letztlich laden sie lediglich URLs per JavaScript und modifizieren Webseiten, was auch viele gutartige Erweiterungen tun.
Grundsätzlich könnte das Phänomen auch Firefox betreffen. Dort gibt es jedoch die Möglichkeit, das automatische Aktualisieren von Add-ons für einzelne oder komplett abzustellen. (ck)
