Malwaremakers kopen Chrome-extensies om malafide updates te verspreiden

Makers van ad- en malware kopen kleinere Chrome-extensies op om malware en advertenties te injecteren in de extensies en die als update te verspreiden. Omdat Chrome extensies automatisch updatet, hebben veel gebruikers niet door waar de advertenties vandaan komen.

Makers van Chrome-extensies kunnen het eigendom van hun extensie verkopen, maar gebruikers van die extensie zien daar niets van en ook als er een update uitkomt die de functionaliteit van de extensie wijzigt gebeurt dat stilletjes, schrijft OMGCHrome. Omdat veel gebruikers meerdere extensies hebben geïnstalleerd en bovendien gebruikers niet direct denken aan updates van extensies, kunnen makers van adware en malware ongestoord hun gang gaan. Om hoeveel extensies het tot nu toe gaat, is onbekend.

OMGCHrome verwijst naar een voorbeeld van de extensie Add To Feedly, die een knop aan Chrome toevoegt om de feed van een website toe te voegen aan de veelgebruikte rss-lezer Feedly. De maker van de extensie kreeg een 'bedrag met vier nullen' aangeboden voor zijn extensie met 30.000 gebruikers. Hij kreeg betaald, waarna de nieuwe eigenaar na enige tijd een update uitbracht die advertenties toevoegt.

De advertenties zijn veelal niet uit te schakelen en worden toegevoegd aan pagina's die gebruikers bezoeken. Zo toont de extensie Smooth Gestures, een extensie die veeggebaren mogelijk maakt in Chrome en een half miljoen gebruikers heeft, advertenties op sommige pagina's over thumbnails heen van de pagina zelf. Die ads zijn niet uit te schakelen en volgens een van de gebruikers toont hij zelfs tijdens het internetbankieren zijn advertenties.

Ook andere extensies vertonen zulk gedrag, hoewel het onduidelijk is hoeveel ontwikkelaars zelf hebben besloten advertenties toe te voegen en hoeveel eerst zijn opgekocht: de Chrome Web Store geeft niet weer of een extensie van eigenaar gewisseld is. Veelal is de stap te zien doordat de recensies eerst lovend zijn, waarna gebruikers ineens kritische reviews geven en melding maken van irritante advertenties.

Recensies Smooth Gestures, Chrome-extensie met ads

Reacties (59)

Rob Wu 18 januari 2014 12:20

Er worden niet alleen extensies opgekocht, maar ook "geproduceerd". Ik heb talloze voorbeelden gezien van extensies die een kloon van een bestaande extensie zijn (qua broncode), met een ander icoontje en naam, plus adware / spyware. Of anders een triviale functie die geleverd wordt met een verborgen, ongewenste functie.

Neem maar een willekeurige zoekterm, bijv. "downloads" (Chrome Web Store zoeken: downloads)...
- Tweede resultaat: op elke pagina die je bezoekt wordt een script uitgevoerd, de code komt van een externe server (142k gebruikers (!!!!), zoek even door op de maker, en je ziet dat de meeste van zijn extensies soortgelijke code bevat).
- 6e resultaat - verandert affiliate links op sommige sites (maar in potentie op elke pagina) (5.7k gebruikers)
- 11e resultaat - voegt een script van een externe website toe aan elke pagina die je bezoekt (6.7k gebruikers).

Ik keek niet verder, maar ongetwijfeld zullen er nog een paar dubieuze extensies zijn. Ervaring leert mij dat "Misbruik melden" niet erg effectief is (zeker voor complexe gevallen). In die gevallen stuur ik een bericht naar Joe Marini (zonder spaties, @google.com).

Voor het lezen van de broncode van extensies heb ik een tool gemaakt en gepubliceerd (https://github.com/Rob--W/crxviewer, beschikbaar in de CWS en op addons.opera.com). Het liefst zou ik ook nog een functie willen hebben die reeds geinstalleerde extensies periodiek scant op ongewensde "features", maar wegens tijdgebrek heb ik het nog niet geimplementeerd. Als iemand mee wilt helpen, graag!

Trouwens, over ander browsers: Firefox extensies van addons.mozilla.org zijn meestal te vertrouwen, daar is de review procedure zeer streng. Op addons.opera.com zit je meestal ook wel goed. Op extensions.apple.com (Safari) wordt elke extensie slechts éénmaal gecontroleerd. De link naar een extensie verwijst naar externe (niet door Apple te controleren) site, dus hier moet je oppassen. Op iegallery.com wordt elke add-on gecontroleerd, maar ik weet niet zeker of dit effectief is, omdat de broncode van IE extensies gecompileerde code is, en niet zoals bij de rest HTML/CSS/JavaScript.

Brupje 18 januari 2014 09:12

Vind .33 tot 3 usd per gebruiker wel een grote investering. Maar toont maar weer aan dat je voorzichtig moet zijn met third party extensies

player-x @Brupje • 18 januari 2014 11:20

Dit is wat je krijgt als nieuws posters niet het bron artikel goed door lezen, er werd niet een bedrag met 4 nullen geboden maar een van vier cijfers.

“It was a 4-figure offer for something that had taken an hour to create and I agreed to the deal,” explains Amit on his blog.

Vier cijfers kan $1000 tot $9999 zijn, maar het zal waarschijnlijk eerder rond de $1000 zitten, wat neer komt op 3 tot 33 cent per gebruiker, met 3 tot 5 cent wat er waarschijnlijk is betaalt per gebruiker.

Hoewel ArsTechnica voor mij als een top 3 site is wat betreft betrouwbaarheid en zorgvuldigheid, maken zelfs zij af en toe een fout je, heeft tweakers die fout over genomen van de nieuws tip die ik gaf.

naaitsab 18 januari 2014 09:09

Lijkt me handig om voortaan alle advertenties via Google zelf te laten lopen. Een beetje hetzelfde systeem als de data compressie van de mobiele versie van Chrome. Dan kan er tenminste nog een check uitgevoerd worden, nu kan men zo maar een besmette advertentie laden met alle gevolgen van dien.

Verwijderd @naaitsab • 18 januari 2014 12:21

>Lijkt me handig om voortaan alle advertenties via Google zelf te laten lopen.

Liever niet, Internet is al genoeg belaagd met advertenties. Heb geen behoefte aan advertenties in mn extensies, al helemaal niet als het doel van mijn extensies juist is om tracking tegen te gaan.

Bovendien heeft het laten verlopen van ads via Google totaal geen nut. Google beheert alleen de webshop met extensies, niet de extensies zelf, dus ads kunnen nog steeds ingeplant worden in opgekochte extensies.

Gé Brander @Verwijderd • 18 januari 2014 14:38

Klinkt dat niet heel dubbel? Google Chrome gebruiken én extensies om tracking tegen te gaan... Is het dan niet slimmer om gewoon Chrome links te laten liggen?

Cerberus_tm

@Gé Brander • 18 januari 2014 18:46

Ja, Firefox bekijkt alle extensies handmatig en checkt zelfs de code, las ik. Verder kun je er in Firefox voor kiezen hoe en wanneer je extensies geüpdate worden. Sowieso heeft Firefox veel betere extensies.

Ik zou Chrome alleen als hoofdbrowser gebruiken wanneer je een casual gebruiker bent die geen behoefte heeft aan extra functionaliteit: dan kun je prima werken met slechts enkele extensies (of liever helemaal geen).

Ik gebruik zelf Chrome voor Google Maps en Street View (die draaien veel beter in Google's eigen browser, althans op mijn computer), en wanneer ik eens in een ander Gmail-account moet inloggen.

[Reactie gewijzigd door Cerberus_tm op 24 juli 2024 06:52]

Rob Wu @Cerberus_tm • 18 januari 2014 23:18

Je hoeft je niet per sé veiliger te voelen in Firefox. Als je puur en alleen kijkt naar extensies, hebben beide platformen hun sterke en zwakke punten.

In Chrome kan een extensie normaal gesproken geen schade aanrichten buiten de browser. Add-ons in Firefox, daarentegen, hebben eigenlijk dezelfde rechten als de browser zelf. Denk aan directe toegang tot al jouw bestanden en applicaties. Deze eigenschap maakt Firefox een aantrekkelijk platform voor het ontwikkelen van extensies, omdat de mogelijkheden vrijwel onbeperkt zijn.

Alle add-ons op addons.mozilla.org (AMO) moeten welliswaar aan veel strenge eisen voldoen, maar het is zeer gemakkelijk om een gebruiker ervan te overtuigen om een addon van een gelikte site te installeren. Klik bijvoorbeeld maar hier om de installatie van een minimale Firefox extensie te triggeren van buiten AMO. Je hebt maar één extra klik nodig (vergeleken met een add-on van AMO) om een add-on toch te installeren.
Om in Chrome een extensie van buiten de CWS te installeren moet je veel meer moeite doen.

In Firefox kan je gemakkelijk auto-update per extensie aan of uit zetten. In Chrome is er alleen een verborgen functie om auto-update van extensies uit te schakelen (start Chrome bijv. met --extensions-update-frequency=3153600000 - update eens per 100 jaar).

Verder is een extensie in Chrome standaard uitgeschakeld in Incognito mode, in Firefox kan een extensie met gemak zichzelf standaard inschakelen in Privacy modus.

[Reactie gewijzigd door Rob Wu op 24 juli 2024 06:52]

Cerberus_tm

@Rob Wu • 19 januari 2014 06:01

Het is inderdaad een beetje oppassen met de rechten van Firefox-extensies. En ook met Greasemonkey scripts...maar dat is eigenlijk hetzelfde als programma's installeren op je computer: je moet ze een beetje vertrouwen, maar dan krijg je ook fantastische mogelijkheden. Voor een beetje ervaren gebruiker is de kans om malware binnen te halen niet groot.

Als je met die ene extra klik bedoelt dat onervaren gebruikers misschien gemakkelijker "per ongeluk" een enge extensie zouden kunnen installeren, daar ben ik het wel mee eens. Maar voor mijzelf maakt dat niet uit. Ik heb het graag precies zo en klik niet per ongeluk op zulke dingen...

Wat betreft de incognito-modus: ik heb juist graag dat mijn browser gewoon zoals normaal werkt. Ik kan niet zonder dingen als links omhoog slepen om in een nieuwe tab te openen, etc. Als ik zonder extensies wil, doe ik wel Help → Restart with Extensions Disabled.

xFeverr @Cerberus_tm • 19 januari 2014 12:20

In incognitomodus zijn ze standaard uitgeschakeld, maar je kan ze zo weer inschakelen als je dat wenst.

bigbadbull @Cerberus_tm • 20 januari 2014 13:33

. Sowieso heeft Firefox veel betere extensies.
Ik zou Chrome alleen als hoofdbrowser gebruiken wanneer je een casual gebruiker bent die geen behoefte heeft aan extra functionaliteit:

Helaas is chrome mijn primaire browser op het werk omdat ik net gebruik maak van een aantal extenties die FF niet heeft.

Cerberus_tm

@bigbadbull • 20 januari 2014 13:59

Tja dat kan natuurlijk. Nu ben ik wel benieuwd welke extensies dat zijn? Bij mij is het andersom (en toen ik probeerde equivalenten te vinden voor Chrome, lukte dat niet echt).

bigbadbull @Cerberus_tm • 24 januari 2014 11:48

Vooral een Jira plugin.
Die is gemaakt door atlassian en heeft geen FF versie.

Cerberus_tm

@bigbadbull • 24 januari 2014 18:20

Ahh ik weet niet eens wat dat is, dus dan zal ik die plug-in waarschijnlijk niet dringend nodig hebben!

Verwijderd @Gé Brander • 18 januari 2014 21:37

Goed punt. Ik gebruikte tot nu toe Chrome omdat ik het gewend ben, het was destijds dan ook de enorme snelheidsprestatie ten opzichte van concurrenten waardoor ik voor Chrome ben gegaan.

Maar gezien alles wat er afgelopen jaar naar boven is gekomen zal ik maar meer kiezen voor de echte open source producten.

Overstappend op Firefox dus.

GamingZeUs @naaitsab • 18 januari 2014 12:33

Concurrentie is ook helemaal niet nodig. Laat Google inderdaad maar in de browsers in laten bouwen dat alleen Google advertenties op het scherm komen. Wel zo veilig.

Oh, ban gelijk ook even alle andere programma's uit! ChromeOS! Yay!

monojack @naaitsab • 18 januari 2014 14:32

En denk je dat je dan beter af bent? Google maakt echt geen onderscheid in wie of wat er adverteert bij hen. Als je betaalt mag je blijkbaar eender wat kwijt met Google ads

If You Search Google for "iTunes" the Top Link Is a Malware Factory

unglaublich 18 januari 2014 09:22

Erg vervelend dit. Ik schaam me ook voor het feit dat ik niet weet of ik een aanbod met vier nullen weet te weerstaan als ik een extensie had gebouwd.

jj71 @unglaublich • 18 januari 2014 09:27

Je zou je er ook niet voor hoeven te schamen, want je weet toch niet dat de koper een malafide figuur is die er malware van gaat maken? (Ja, nu wel, na het lezen van dit artikel...). Als jij iets tweedehands verkoopt dan ben jij niet verantwoordelijk voor wat de koper met jouw spullen gaat doen. Maar het is natuurlijk wel vervelend, ik zou ook iets niet willen verkopen als ik wist dat de koper er foute dingen mee zou gaan doen.

Hopelijk gaat Google hier snel iets aan doen.

Sircuri @jj71 • 18 januari 2014 09:32

Alles heeft zijn prijs. Zeg dus nooit "nooit". Sorry hoor, maar als ik een extensie heb waar ineens een bedrag met 4 nullen voor geboden wordt, zeg ik geen nee.

Anima-t3d @Sircuri • 18 januari 2014 10:12

4 nullen is ook niet zo hééél veel, het ligt tussen 10 000 en 90 000. Ik weet toch niet of ik daar mijn geweten mee wil opzadelen. Maar inderdaad als je zelfs in de verste verte geen vermoeden van kwaad opzet ziet, dan zou ik ook twee keer nadenken

[Remmes] @Anima-t3d • 18 januari 2014 10:31

Jij weet niet wat de koper met de extensie gaat doen, jij denkt dat de koper deze zal uitbreiden en dergelijke. Ik had hier niet eens aan gedacht.

SED @[Remmes] • 18 januari 2014 18:44

ps, het blijken "maar" drie nullen te zijn.. four figure was de originele tekst.

zie player-x
@Brupje • 18 januari 2014 11:20

Ximon @unglaublich • 18 januari 2014 09:59

Je weet ook niet of de koper van te voren had gemeld dat hij de extensie wilde kopen om de gebruikers ervan te spammen met reclame. Ik denk dat de originele eigenaar "ter goeder trouw" de boel heeft verkocht, vaak zijn dit volgens mij eenpitters die zo'n extensie als zijprojectje hebben lopen en als er dan iemand langs komt die zijn of haar harde werk wil verzilveren is het inderdaad lastig nee zeggen.

Waar het probleem ligt is dat op deze manier advertenties plaatsen (hoop ik) tegen een of andere EULA van Google ingaat, maar dat er geen makkelijke manier is om van zo'n extensie af te komen als zoiets eenmaal gebeurt. Ze kunnen het natuurlijk uit de Chrome appstore verwijderen, maar dan zijn er nog steeds tienduizenden gebruikers die de rommel geïnstalleerd hebben.

.Peter. @Ximon • 18 januari 2014 10:38

Mijn broertje Rob heeft een extensie met 400k gebruikers en kreeg ook zo'n aanbod. De verkoop is niet echt "ter goeder trouw" te noemen, meer "het aanbod is zo aantrekkelijk, ik waag wel een gokje". De andere partij vraagt of hij/zij eigenaar van jouw extensie kan worden.

Als je vervolgens vraagt waarom hij/zij die extensie wilt overnemen, dan komen de smoezen. Iets om op de CV te zetten, "gewoon" leuk om te houden, etc. Ook wordt er benadrukt dat je een aantrekkelijke vergoeding krijgt ervoor...

Gelukkig voor de gebruikers heeft Rob een goede integriteit en geweigerd om de extensie te verkopen.

[Reactie gewijzigd door .Peter. op 24 juli 2024 06:52]

Ximon @.Peter. • 18 januari 2014 13:09

Dat is dan wel erg doorzichtig inderdaad, terwijl het me helemaal niet zo moeilijk lijkt om een geldige reden te verzinnen: "We willen er geld mee gaan verdienen" "Past in ons productportfolio" "Is een mooie aanvulling op een bestaande applicatie die wij verkopen" enz.

Cerberus_tm

@unglaublich • 18 januari 2014 18:50

Ik zou tenminste bericht doen uitgaan naar al je gebruikers dat je de extensie verkocht hebt. Dat is wel het minste wat je kunt doen om ze te beschermen. Anders zou ik heel boos op jou worden.

Ruben0s 18 januari 2014 09:15

Ik heb laatst ook zoiets gehad. Kreeg ik ineens bij alle vraag en aanbod advertenties op tweakers linkjes naar ebay en andere reclame sites. Was iets met price companion ofzo. Kreeg het met geen mogelijkheid verwijderd uit chrome.

De computer had ik net in elkaar gezet en geïnstalleerd. In chrome had ik de volgende extensies geïnstalleerd: ad block ( de meest populaire) en avast.

Uiteindelijk een stuk of 4 verschillende ad removal tools gebruikt en ze zeiden dat de ad block extensie geïnfecteerd was. Maar geen van de tools kon het verwijderen.

[Reactie gewijzigd door Ruben0s op 24 juli 2024 06:52]

Klaus F. @Ruben0s • 18 januari 2014 09:49

Ja, zo'n stripje met thumbnails is dat toch?
Had ik ook, maar was bij mij gewoon een extensie die op de een of andere manier tussen mijn andere extensies was terechtgekomen. Kon hem zo dus ook verwijderen.
Volgens mij meegekomen nadat ik een tool had geïnstalleerd om YT filmpjes te kunnen bewaren.
Daar zat een vracht irritante adware tussen.
Ben nu mobiel, dus weet even niet de naam, maar als ik op mijn desktop ben zal ik de naam van die tool nog even vermelden.

Ruben0s @Klaus F. • 18 januari 2014 12:06

De extensie heet Enjoy Coupon 3.4. Heb ook geprobeerd het via chrome te verwijderen. Maar wat ik ook deed de extensie stond er elke keer weer tussen als ik chrome startte. Maar heb hem uiteindelijk wel weg gekregen door chrome er gewoon helemaal af te gooien en handmatig de files te verwijderen.

doom71 @Ruben0s • 18 januari 2014 09:48

Dat is vreemd. Gebruik ook ad-block maar heb geen last van ongewenste advertenties ed.

Aurora 18 januari 2014 10:08

Ik gebruikte tot een paar maanden terug SmoothScroll als extensie. De naam zegt al wat de bedoeling van de extensie was. Uit het niets kreeg ik plotseling thumbnails tussen mijn zoekresultaten in Google. Iets van prijsvergelijkingen.

Voor een moment dacht ik dat Google weer iets nieuws had geïntroduceerd. Al snel kwam ik erachter dat er iets mis was. Ik vergelijk dezelfde pagina in incognitomodus van Chrome. Alle extensies zijn standaard uitgeschakeld in incognito. En rara. De thumbnails waren verdwenen. Ik ging daarna alle extensies na en vond SmoothScroll als de dader. Direct eruit uitgeknikkerd. In mijn achterhoofd vond ik het al vreemd waarom de eigenaar zijn extensie de nek langzaam omdraaide.

ESTANNY @Aurora • 18 januari 2014 10:43

Had hetzelfde. Je kan de ads uitschakelen maar bij het herstarten van de browser staat dw optie weer aan en worden er weer ads geïnjecteerd in alles wat je bezoekt. De maker wordt overspoeld door flame reacties omwille van het inbouwen van de ads. Misschien onterecht als zo een bedrijf de extensie gekocht heeft.
In mijn ogen moet Google snel ingrijpen en misschien maar wen soort van systeem inbouwen dat gebruikt wordt in Android en de gebruiker de nodige rechten tonen die de extensie nodig heeft. Zo ook als er ads worden geïnjecteerd en moet er en striktere controle zijn zodat bedrijven de rechten niet aan hun laars lappen.

Cerberus_tm

@ESTANNY • 18 januari 2014 18:52

Als jij een extensie hebt die door duizenden mensen gebruikt en vertrouwd wordt, en je verkoopt hem zonder iets te zeggen aan een partij die heel goed malafide kan zijn, dat vind ik dat je flame-reacties wel verdient. Stuur tenminste bericht aan al je gebruikers dat je de extensie hebt verkocht.

dwarfangel 18 januari 2014 12:05

het geeft maar weer aan hoe kwetsbaar Google blijft. vrienden van mij hebben ook altijd allerlei extensies geïnstalleerd: gewoon niet doen

de beste extensies worden in mijn beleving nog steeds door betrouwbare partijen gemaakt - en de rest is een honingpot voor hackers.

Je doet er nou eenmaal verstandig aan om bij Google zo kritisch mogelijk te blijven ondanks toezeggingen. zij omarmen nou eenmaal een maatschappij waarbij iedereen met een open rugzak loopt. ja dan wordt er wel eens wat uit je tas gepakt of juist erin gestopt.

Sando @dwarfangel • 18 januari 2014 15:43

Ben ik de enige die zich zorgen maakt om de beveiliging van internetbankieren en andere gevoelige zaken? Kan iemand een extensie opkopen en spyware-achtige code injecteren bij paypal?

Hoe weet ik eigenlijk welke plugins veilig zijn? Als er een of andere vage plugin wordt gepromoot op een website door een bedrijf wat ik niet ken, dan ben ik ook erg waakzaam ookal is het nog zo mooi.

Maar ik heb uiteindelijk toch mijn ziel aan de duivel verkocht, want hoezeer ik ook waakzaam dacht te zijn, ik heb inmiddels een behoorlijke rits plugins.

En zoals Rob Wu hieronder zegt zijn dubbele plugins vaak een indicatie dat één van de twee een spammert is. Maar als ik van medetweakers tips krijg, welke is dan de correcte? (bijv. Ghostery vs. Disconnect vs. Do Not Track Plus vs. Do Not Track Me)

Voorbeeldje van de veel gebruikte antitrack plugins:

Ghostery, waar veel Tweakers enthousiast over zijn, is bijvoorbeeld een plugin van Evidon, een bedrijf wat statistieken aan advertentienetwerken verkoopt.

Het minder bekende Disconnect doet min of meer het zelfde, maar is open source, dus dat lijkt me een betere keus.

Ik wou dat er een repository was van trusted, dubiety, en bad extensies. En dat je dan een lijstje met je eigen plugins kan uploaden, waarna je netjes ziet welke een risico vormen.

[Reactie gewijzigd door Sando op 24 juli 2024 06:52]

Amadeus1966 @Sando • 19 januari 2014 19:45

veilig bankieren doe je in de bank zelf........
al het andere dragen altijd risico's mee.

adviezen van tweakers, niet klakkeloos overnemen.....immers je weet nooit wie of wat er achter het tikbord zit.
Voor het zelfde geld krijg je al of niet goedbedoelde tips van een 7 jarige of een puber die iets gehoort heeft op het schoolplein.

dwarfangel @Amadeus1966 • 20 januari 2014 13:48

Tot de bank beroofd wordt en jij in de rij staat te wachten met je geld

Amadeus1966 @dwarfangel • 20 januari 2014 15:47

Persoonlijk acht ik die kans ietsjes kleiner, maar het kan.

[Reactie gewijzigd door Amadeus1966 op 24 juli 2024 06:52]

? ? @Sando • 20 januari 2014 10:15

chrome://plugins/
chrome://extensions/

Alles wat je niet kent, uitschakelen. Om de x aantal tijd controleren.
Click-to-play aanzetten.

Veel veiliger heb ik het nog niet gezien.

Shaggy_NL 18 januari 2014 10:00

Is ironisch het goede woord, wanneer ik het voorlaatste nieuwsbericht over Chrome lees, hier op T.net?
Google brengt Chrome 32 met betere malwarebeveiliging uit

[Reactie gewijzigd door Shaggy_NL op 24 juli 2024 06:52]

Madrox 18 januari 2014 10:19

Je kan de ads dan wel niet aanpakken, maar je kan de verdachte extensies toch gewoon verwijderen ?

jpsch 18 januari 2014 11:45

Daar gaat het argument dat je met een Chromebook geen tijd hoeft te besteden aan beheer.

Op dit item kan niet meer gereageerd worden.

Malwaremakers kopen Chrome-extensies om malafide updates te verspreiden

Lees meer

Reacties (59)

Sorteer op:

Weergave: