Ich bin mir nicht sicher, ob dies in Ihrem speziellen Problem der Fall ist, aber es gab Situationen, in denen bekanntermaßen gute Erweiterungen an Dritte verkauft wurden, die die Erweiterung dann für schändliche Zwecke kooptieren. Hier ist eine solche Geschichte, in der dies erörtert wird:Google Chrome-Erweiterungen werden an böswillige Adware-Unternehmen verkauft.
Auszug
Ron Amadeo von Ars Technica hat kürzlich einen Artikel über Adware-Anbieter geschrieben, die Chrome-Erweiterungen kaufen, um böswillige, werbefinanzierte Updates zu platzieren.
Google Chrome verfügt über automatische Updates, um sicherzustellen, dass die Benutzer immer auf den neuesten Updates ausgeführt werden. Offensichtlich wird Google Chrome direkt von Google aktualisiert. Dieser Update-Prozess beinhaltet jedoch konsequent die Erweiterungen von Chrome. Chrome-Erweiterungen werden von den Inhabern der Erweiterung aktualisiert, und es liegt am Nutzer, festzustellen, ob der Inhaber der Erweiterung vertrauenswürdig ist oder nicht.
Wenn Benutzer eine Erweiterung herunterladen, erteilen sie dem Eigentümer der Erweiterung die Erlaubnis, jederzeit neuen Code an ihren Browser zu senden.
Was unvermeidlich passiert ist, ist, dass Adware-Anbieter die Erweiterungen und damit die Benutzer von den Autoren der Erweiterungen kaufen. Diese Anbieter verteilen Adware an jeden Benutzer der Erweiterung, was zu einem gefährlichen Surferlebnis führen kann.
Ein Autor von Google-Erweiterungen hat dies in seinem Blogbeitrag mit dem Titel "Ich habe eine Chrome-Erweiterung verkauft, aber es war eine schlechte Entscheidung."
persönlich beschriebenMein Rat wäre, diese Situation sehr ernst zu nehmen und Erweiterungen zu deaktivieren, bei denen Sie sich nicht sicher sind. Ich würde dann die Situation beobachten, um zu sehen, ob sie nachlässt oder anhält.
Wenn es so weitergeht, würde ich tiefer graben und anfangen, die von Ihnen verwendeten DNS-Server zu untersuchen. Normalerweise verwende ich OpenDNS genau aus diesem Grund, da dieser (kostenlose) Dienst versucht, Angriffsvektoren zu vereiteln, indem er DNS-Lookups stattdessen auf alternative OpenDNS-Seiten umleitet.
Warum DNS?
OpenDNS-DNS-Server erweitern absichtlich die Ergebnisse, die sie zurückgeben, wenn Sie eine Suche durchführen, wenn bekannt ist, dass ein Hostname mit Aktivitäten im Zusammenhang mit Spam/Hacking/Phishing in Verbindung steht. Sie befinden sich in einer einzigartigen Position, da sie die Suche für jede Website durchführen, auf die ihre Kunden zugreifen, sodass sie Anomalien erkennen können, siehe hier:OPENDNS PHISHING PROTECTION sowie hier.
Was noch?
Ich würde auch darauf achten, dass Ihr /etc/hosts Datei wurde nicht kompromittiert, und überwachen Sie die Situation weiterhin mit etwas wie nethog , die anzeigt, welche Prozesse auf Ihr Netzwerk zugreifen.
Amit Agarwal hat in weniger als einer Stunde eine Feedly-Erweiterung für Chrome erstellt und sie unwissentlich für einen vierstelligen Betrag an einen Adware-Anbieter verkauft. Die Erweiterung hatte zum Zeitpunkt des Verkaufs mehr als 30.000 Nutzer auf Chrome. Die neuen Eigentümer haben ein Update für den Chrome Store veröffentlicht, das Adware und Affiliate-Links in das Surferlebnis der Benutzer einfügt. Obwohl diese Erweiterung entfernt wurde, weil Agarwals reuevolles Geständnis öffentlich gemacht wurde, ist dies ein sehr häufiges Ereignis bei Chrome-Erweiterungen.
Sehen Sie sich die Bewertungen der Erweiterung Smooth Gestures an (direkter Link).
Wenn Sie die Bewertungen nach Datum sortieren (indem Sie auf Neueste klicken ), werden Sie feststellen, dass fast alle neuen Rezensionen mit einem Stern bewertet werden und sich über hinterhältige Anzeigen beschweren:
Kevin Lee Vor 1 Tag
Verkauft an ein Drittunternehmen, das Anzeigen und eine Pay-to-Remove-Ad-Funktion hinzufügt.
Suresh Nageswaran Vor 3 Tagen
Hasse die Werbung. Funktionierte gut, bis es anfing, Anzeigen in mein Surferlebnis einzufügen. Ich hätte bezahlt, um es weiter zu benutzen, aber ich fühlte mich stark wegen der Hinterhältigkeit. Grenzen zu Spyware.
John Smith Vor 6 Tagen
Verwenden Sie dies nicht. Es injiziert JS in Clickjack-Dinge und verursacht XSS-Sicherheitsprobleme mit https.
Tomas Hlavacek 23. Februar 2014
Absoluter Mist... Erinnern Sie sich noch an den Vorfall mit unbefugtem URL-Stiehling? Dann fingen sie an, Benutzer zu „spenden“ oder Anzeigen zu zwingen. Es fing sogar an, auf bestimmten Seiten zu verzögern (was vor all diesen "Verbesserungen" nicht der Fall war). Also bin ich zu CrxMouse gewechselt und mir geht es gut.
Kyle Barr 19. Februar 2014
Es ist eine solide Erweiterung für Mausgesten, aber die neuen Anzeigen sind eine schreckliche Ergänzung. Erstens, weil die Erweiterung die Anzeigen aktualisiert und stillschweigend hinzufügt, sodass Sie nicht wissen, woher sie kommen. Hier scanne ich meinen Computer mit mehreren Malware-Scannern, weil ich zufällige Anzeigen bekomme, bis ich merke, dass es Smooth Gestures sind, die sie einfügen.
Es gibt keinen guten Grund, diese Erweiterung weiter zu verwenden, und ich persönlich würde gerne wissen, wer diese Erweiterung entwickelt, damit ich sicherstellen kann, dass ich in Zukunft nichts davon installiere.
Sieht so aus, als wäre dieser der Übeltäter.
Zusätzlich zu den Antworten hier habe ich noch ein paar weitere nützliche Ressourcen gefunden.
-
Dieser Howtogeek-Artikel empfiehlt ein Programm namens Fiddler, das als Web-Debugging-Proxy fungiert und es Ihnen ermöglicht, Netzwerkanfragen zu untersuchen (es gibt eine Alpha-Linux-Version). @slm hat mich auf diese Antwort auf SO verwiesen, die auch verschiedene ähnliche Programme hat.
-
Der Entwicklermodus in Chromes
chrome://extensionsSeite können Sie jede Erweiterung auf im Hintergrund laufende Prozesse überprüfen:
Klicken Sie auf
background.htmlöffnet das Fenster der Entwicklertools von Chrome, mit dem Sie die Quellen der verschiedenen Skripte, die die Erweiterung enthält, einfach durchsuchen können. In diesem Fall ist mir ein Ordner namenssupportaufgefallen im Quellbaum von Sexy Undo Close Tab, der ein Skript namensbackground.jsenthielt das sah verdächtig aus (es erzeugte zufällige Zeitintervalle, die zu meinen Symptomen passten). -
Dieser andere Howtogeek-Artikel enthält eine Liste bekannter Erweiterungen, die Sie vermeiden sollten, aber noch besser ist http://www.extensiondefender.com, das eine von Benutzern erstellte Datenbank bösartiger Erweiterungen zu sein scheint. Sie geben jedoch nicht an, wie oder warum eine bestimmte Erweiterung als Malware oder Addware gekennzeichnet wurde, also sollte sie vielleicht mit Vorsicht betrachtet werden.
-
Die Leute hinter extensiondefender.com (wer auch immer sie sind) haben auch eine sehr coole kleine Erweiterung namens (Trommelwirbel) Extension Defender entwickelt. Auf diese Weise können Sie Ihre vorhandenen Erweiterungen nach bekannten "bösen" durchsuchen und auch verhindern, dass Erweiterungen auf der schwarzen Liste installiert werden.
Von den Erweiterungen in meinem OP sind also sowohl Smooth Gestures (danke @Dennis) als auch Sexy Undo Close Tab Addware. Basierend auf dem Quellcode des support/background.js Datei des letzteren, ich bin mir ziemlich sicher, dass einer zufällig meine aktuelle Seite entführt hat, aber ich gebe ihm ein paar Tage Zeit, um sicher zu sein.
Eine weitere nützliche Erweiterung ist der Extensions Update Notifier (danke @Dennis), der Sie anscheinend informiert, wenn eine Erweiterung aktualisiert wurde, was helfen könnte, den Schuldigen zu identifizieren, falls eine Aktualisierung diese Art von Verhalten hinzugefügt hat.