staging.inyokaproject.org

Version 103.0.5060.53 (Official Build) (64-bit) https://chrome.google.com/webstore/detail/privacy-test/pdabfienifkbhoihedcgeogidfmibmhp

Heute habe ich Chrome gestartet, das Passwort für die Passwörter eingegeben, plötzlich kommen ein paar mehr *** am Ende des Passworts, hab aber zu schnell Enter gedrückt. Dann kommt die Meldung: ERROR: Privay Test is disabled, To re-enable it, accept the new permissions: *Manage your apps, extentions and themes *Change your privacy related settings.

Ich habe aber diese Extention nie hinzugefügt. Steht auch in den Meinungen der App. Es sollte also Malware sein. Wie kann man herausfinden was sie macht? Und wie bekommt man Chrome wieder sauber? Welche Daten können gestohlen worden sein? Ich nehme an alle Passwörter. Aber nur sofern ich "Accept permissions" gewählt hätte, habe ich aber nicht. Ich würde erst mal alle Apps raushauen, bis auf die nötigsten und schauen ob sie dann verschwindet.

Habe den Extentionordner gezippt und im Anhang. https://media-cdn.ubuntu-de.org/forum/attachments/28/26/9322551-pdabfienifkbhoihedcgeogidfmibmhp.zip https://www.virustotal.com/gui/file/be939fed0dceb8453ccd0b6402069454b50591a3bb802299f0bc8043389bc756?nocache=1

Evtl. selbst Malware: https://sensorstechforum.com/hotcleaner-virus-remove-chrome-windows-mac/ Siehe Kommentare: https://www.heise.de/download/product/spyhunter

Es könnte von der Seite "http://www.rundfunkbeitrag.de" kommen, aber ohne "n" also rudfu, da kommt man auf eine komische Seite.

Chrome Report an issue: Never added app "Privay Test" appears and wants: ERROR: Privay Test is disabled, To re-enable it, accept the new permissions: *Manage your apps, extentions and themes *Change your privacy related settings. Password entry at the start of chrome adds a few *** at the last entered character and then starts after enter.

sudo rkhunter -c
    Checking for suspicious (large) shared memory segments   [ Warning ]
    Checking for group file changes                          [ Warning ]
    Checking for hidden files and directories                [ Warning ]

Hab die App mit anderen entfernt, ein paar mal neu gestartet und jetzt scheint sie Ruhe zu geben. In einem andren Post unter der App steht dass sie sich am nächsten Tag wieder installiert haben soll.

Ich denke das Thema gehört in: https://forum.ubuntuusers.de/forum/sicherheit

Könnte ein Bug im Browser Sync Feature sein, äußerst komisch dass dann diese App installiert wird. Ich nutze Sync nicht.

Im Google Chrome Web Store hat jemand in den Kommentaren darauf hingewiesen, dass dieses Add-on zu irgendeinem ominösen Starter Set an Add-ons für den Google Chrome Browser gehören soll. Ich hab mal reinguckt in die Zip Datei und finde das Ding mindestens nutzlos und der Payload lässt mich die Stirn runzeln, auch wenn Virenscanner daran nichts auszusetzen haben. Es sendet irgendwelche Infos an einige Webserver, triggert bei viel genutzten Webseiten, alles im allen finde ich es dubios. Kannst ja selbst mal reingucken in das Archiv und Dir durchlesen, zu was für Servern das Browser Add-on telefoniert.

Hallo!

Du verwendest einen teilproprietären Browser aus einer Fremdquelle. Daher würde ich mutmaßen, das du bei support.google.com besser aufgehoben bist, zumal die sich mit dem Stück Software auch auskennen. Falls das auf Chromium übertragbar ist, könntest du auch an der Stelle einen Bugreport einreichen.
Nach Sicherheit hab ich dich verschoben, wobei das genaugenommen nicht mal ein Ubuntu-Thema ist. Welches OS darunter werkelt ist ja Wurscht. Apple Webkit + chromium Aufbau + Google Änderungen = Chrome. Vom Sicherheitsaspekt her, solltest du dich daher an den Hersteller wenden.

Falls das ZIP mit dem aktuellen CRX für den Google Chrome Browser Add-on verglichen werden soll, die crxunpack .bashrc function funktioniert immer noch:

• https://forum.ubuntuusers.de/topic/crxunpack-function-fuer-die-bash-google-chrome/

Die URL zum Download vom CRX muss man sich natürlich selbst heraus popeln, ist aber nicht so schwer anhand der Angaben von Virustotal und dann den Google Suchergebnissen folgen. Alles auf eigenes Risiko und die eigene Zeit verschwenden.

Der Hersteller meint es sei deshalb weil CC Cleaner in Privay Test umbenannt wurde und der Betroffene Sync aktiviert haben muss. Trifft aber bei mir nicht zu.

Hab nie CC Cleaner oder Privacy Test hinzugefügt, und Sync habe ich auch nie genutzt. Also muss es entweder aus einem Browser Bug entspringen oder aber eine Art drive by Attacke, oder eine andre Extension dafür verantwortlich ist. Jetzt kann man mutmaßen ob es nur ein harmloser Fehler war, eine Art inoffizieller "Promotion", oder aber ein ernster Angriff.

Ich habe über Help > report issue das ganze an Google übergeben.

Es installiert sich seit der Deinstallation nicht mehr von selbst wieder. Habe aber auch andere Extension raus genommen, evtl. hat da eine dafür gesorgt. Weiss leider nicht mehr welche ich raus hab und auf den issue report hab ich auch keinen Zugriff mehr.