Gefälschte Add-ons für den Edge-Browser in Microsofts Store zeigten Werbung an

Microsoft hat letztes Wochenende Kopien teils bekannter Browser-Extensions wie NordVPN und AdGuard VPN, die zu Werbung umleiteten, aus dem Edge Store entfernt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge

(Bild: tsyhun/Shutterstock.com)

Update
Von
  • Olivia von Westernhagen

Die Chromium-Basis des rundum erneuerten Edge-Browsers ermöglicht die Nutzung von Chrome-Erweiterungen in Microsofts Edge und erleichtert Entwicklern so die Arbeit. Die Kehrseite ist, dass der offizielle, momentan noch als Beta-Version gekennzeichnete Edge-Webstore (microsoftedge.microsoft.com) auch mit einem steigenden Aufkommen an schädlichem oder potenziell unerwünschtem Add-on-Code zu kämpfen hat – eine Annäherung an Chrome, Firefox und Co. in negativem Sinne. Fünf Add-ons hat das Unternehmen am vergangenen Wochenende aus dem Store gelöscht: Nutzer hatten unerwünschte Werbeeinblendungen beobachtet.

Update 23.11.,15:35: Mittlerweile hat uns ein Leser auf weitere mögliche Fälle unerwünschter Werbe-Redirects hingewiesen. Die betreffenden Add-ons sind noch online: Wir haben diese Meldung um einen entsprechenden Abschnitt am Ende ergänzt.

Die als NordVPN, Adguard VPN, TunnelBear VPN, The Great Suspender und Floating Player — Picture-in-Picture Mod getarnten Extensions brachten die (geklauten) Funktionen ihrer bekannten Vorbilder mit. Der Code dürfte aus Chromes Web Store stammen, da von den genannten Add-ons bislang offenbar nur der Floating Player direkt über Microsofts Edge-Store verfügbar ist. So verweist etwa das NordVPN-Team in einer Installationsanleitung zur Extension in Edge explizit auf den Chrome Web Store als Download-Quelle auch für Edge.

Die unerwünschte Zusatzfunktion der Kopien bestand laut mehreren Nutzerberichten auf der Social-News-Website Reddit darin, dass Nutzer beim Anklicken von Google-Suchergebnissen zu Werbeanzeigen umgeleitet wurden. Wie Ars Technica berichtete, wurden im Zuge der Redirects häufig die Domains oksearch[.]com und cdn77[.]org verwendet. Durch vorübergehendes Deaktivieren der betreffenden Add-ons konnten die Nutzer das unerwünschte Verhalten zuordnen. Ob der Code noch weitere Schadfunktionen enthielt, ist unbekannt.

Eine Edge-Community-Managerin hat die Löschung der gefälschten Add-ons durch Microsoft bestätigt. Auch das TunnelBear-, das AdGuard- und das NordVPN-Team räumten die Vorfälle ein; die übrigen Hersteller äußerten sich noch nicht.

Über das Internetarchiv "Wayback Machine" abrufbare Kopien der mittlerweile nicht mehr verfügbaren Edge-Store-Seiten mit den Add-on-Fälschungen zeigen, dass diese teils schon rund zwei Monate online waren: Einige der Apps wurden Ende September zuletzt aktualisiert.

In einem Kommentar vom 17. Oktober 2020 auf der gefälschten NordVPN-Downloadsite (Kopie bei Wayback Machine) berichtet ein Nutzer, das Team von NordVPN kontaktiert zu haben; man habe ihm bestätigt, dass es sich nicht um die offizielle Erweiterung handele. Warum die Löschung dennoch erst vor ein paar Tagen erfolgte, ist unklar. heise Security hat diesbezüglich bei NordVPN und Microsoft nachgehakt, Antworten stehen noch aus.

(Bild: Screenshot/Collage, web.archive.org)

Anwender, die die genannten Extensions von einer der nachfolgenden (nicht mehr erreichbaren) Store-Seiten heruntergeladen haben, sind dem Betrug aufgesessen und sollten sie zügig deinstallieren.

Darüber hinaus weist der Ars Technica-Artikel zu den Vorfällen auf eine gefälschte TunnelBear-Extension im Chrome Webstore hin, die noch immer abrufbar ist.

Beim Great Suspender ist die Sachlage möglicherweise noch etwas anders als bei den übrigen Add-ons: Eine (bereits vor knapp drei Wochen begonnene) Diskussion im Projekt-Repository bei GitHub weist darauf hin, dass der neue Maintainer des Projekts nicht vertrauenswürdig sei und die Redirects zur Werbung von diesem wohl bewusst eingebaut wurden. Dementsprechend sollten Nutzer browserübergreifend eine Deinstallation erwägen.

Update 23.11.,15:35:

Kurz nach Veröffentlichung dieser Meldung hat uns ein Leser auf mögliche weitere Fälle unerwünschter Werbe-Redirects mit denselben Domains hingewiesen und seine Beobachtungen mit einem Screenshot dokumentiert. Demnach konnte er die Redirects bei allen drei Extensions des Entwicklers "Express VPN" (vermutlich zur Tarnung in Anlehnung an das tatsächlich existierende ExpressVPN) beobachten.

Wir haben die Umleitungen nicht im Einzelnen validiert – um unrechtmäßige Kopien der Add-ons Wayback Machine (im Original vom Internet Archive), Go Back With Backspace (eigentlich von Google) und friGate CDN (eigentlich von fri-gate.org) handelt es sich aber in jedem Fall. Das Entfernen ist dringend ratsam. Der betroffene Leser hat seine Beobachtungen über den hierfür vorgesehenen Button ("Missbrauch melden") Microsoft mitgeteilt.

Die Beobachtung des Lesers: Die Add-ons laden ein Skript von https[:]//1658[...].rsc.cdn77.[...], das wiederum den Redirect zu oksearch.org verursacht.

(Bild: Screenshot)

(ovw)