MEGA: Chrome-Erweiterung gekapert, diese stahl Daten von Nutzern
von caschy | 10 Kommentare
Erinnert ihr euch noch an den Filehoster Mega? Aufgebaut von Kim Schmitz, aka Kim Dotcom, sollte da Großes realisiert werden. Das Ganze ist eine krude Geschichte, die mal wieder zum Gesamtbild passt. Die Realität ist: Schmitz ist seit 2016 aus der Firma raus und chinesische Investoren haben ihre Hände im Spiel.
Nun der Gau für Nutzer: Die Chrome-Erweiterung von Mega wurde angegriffen. Anscheinend hat Mega selber auch Sicherheitsprobleme, denn Angreifer konnten eine präparierte Version 3.39.4 der Chrome-Erweiterung in den Store bringen.
Sie forderte bei der Aktualisierung neue Rechte an, die sicherlich viele Nutzer gutgläubig gaben. Die Erweiterung stahl so Zugangsdaten zu Google, Amazon und weiteren, sendete diese an einen Server in der Ukraine.
Mittlerweile habe man die Erweiterung aktualisiert bei den Nutzern, nichtsdestotrotz ist sie erst einmal raus aus dem Chrome Web Store. Solltet ihr unbewusst die Erweiterung aktualisiert und sie mit vollen Rechten ausgestattet habe, so ist es wohl besser, seine Accounts im Blick zu haben, Passwörter zu ändern und gegebenenfalls eine 2FA zu aktivieren.
Wird geladen ...
der selbe mist wie unter android. wieso kommuniziert google die berechtigungen von apps und erweiterungen besser mit dem anwender?
apps mit unnötigen rechten sollte man hochkantig aus dem store kicken. man muss sich nur mal den mist anschauen, der oft bei mydealz etc vorgestellt wird, nur weil es kostenlos ist. item packs mit zugriff auf konten, zwischenablage und netzwerk – geht’s noch? mindestens 95% der apps im play store sind potentielle malware und viele browsererweiterungen sind ebenfalls ein großes sicherheitsrisiko. firefox ist da leider nicht viel besser. extra für online banking usw habe ich einen nackten firefox portable ohne addons. paranoid? kann sein…
Vielleicht nicht paranoid, aber unnötig umständlich, wofür hat Firefox die Multi-Account Container?
Alternativ eine Profilabfrage beim Start von FF, so sind die Addons auch außen vor…
Das profilmanagement bei firefox ist immer noch auf steinzeitniveau. Hier könnte man sich ruhig bei google bedienen.
Die multi account container sind ohne addon einschränkung leider nutzlos. Viele addons benotige ich nur auf wenigen seiten, manche auf fast allen und auf manchen eben nicht.
Das alles ändert immer noch nichts am mißstand mit den addons und ihren berechtigungen. Google hat versagt und mozilla macht es nach.
Natürlich haben viele Apps und Erweiterungen zuviele Rechte, aber eine automatische Prüfung, ob Rechte „unnötig“ sind ist nunmal sehr schwierig.
Helfen würde es allerdings, wenn die Entwickler gezwungen würden anzugeben warum und für welche Funktion sie bestimmte Rechte benötigen, so wie es einige (im Vergleich wenige) Entwickler freiwillig in der Beschreibung tun.
Dann kann man den menschlichen Faktor zumindest etwas unterstützen bei der Entscheidung.
Dann müssen sie eben Leute anstellen die die angegebenen Rechte prüfen.
Man kann ja von Mega halten was man will…aber die Erweiterungen war schon eher skeptisch zu betrachten. Der „Mehrwert“ war immer fraglich. Allerdings ist in Sachen Geschwindigkeit und Handling die Mega Plattform nicht schlecht. Ggf. sollte man aber grundsätzlich seine Dateien verschlüsseln, und sei es nur über WInrar. Für sensibles würde ich diese Cloud (oder ggf. keine?) nutzen.
Was für ein unseriöser Laden. Habe den Account komplett gelöscht.
2fa bei mega aktivieren?
wie?
Er meinte sicherlich bei den kompromittierten Diensten.