Firefox throws the book at malware (too hard)

Firefox geht (zu) hart gegen Malware vor

Mozilla Firefox hält Nutzern beim Umgang mit potenziell schädlichen Dateien eine wichtige Option vor und hat damit einen signifikanten Nachteil.

Mehr als nur Surfen

Mit Firefox können Sie nicht nur im Internet surfen und nach Belieben Dateien herunterladen. Firefox überprüft auch Ihre Downloads gegen eine Blacklist von schädlichen Webseiten und lässt Dateien zusätzlich durch Googles Blacklist-Dienst „Safe Browsing“ scannen. Diese Schutzfunktion ist kein Add-On, sondern in den Firefox-Standardeinstellungen voreingestellt. Auf Wunsch kann sie jedoch vom Anwender manuell deaktiviert werden.

Firefox throws the book at malware (too hard) - in-post

Firefox-Herangehensweise gleicht dem Restaurantbesuch nach Verdauungsbeschwerden

Das Problem ist, dass Firefox nicht jede einzelne Datei genau auf Malware prüft. Stattdessen verlässt sich der Browser im Wesentlichen auf die Erfahrungswerte mit der jeweiligen Webseite. Das ist, als ob Sie nicht mehr in Ihr Lieblingsrestaurant gehen, weil Sie und Ihre Begleitung nach dem letzten Besuch starke Verdauungsbeschwerden hatten. In Ihrem Essen wurden zwar keine Salmonellen nachgewiesen, aber Sie haben einfach das (vielleicht sogar berechtigte) Gefühl, dass Sie nach dem Besuch dieses Restaurants öfter Bauchschmerzen haben als sonst.

Firefox throws the book at malware (too hard) - in-post

Malware-Erkennung muss weniger statisch sein

Sobald Firefox eine schädliche Downloaddatei erkennt, öffnet der Browser ein Pop-up mit der Warnung „Diese Datei enthält einen Virus oder Malware“ und gibt dem Nutzer die Optionen, die Datei entweder zu öffnen oder zu löschen. Eine Möglichkeit, die Datei zu speichern, gibt es nicht. In der Theorie funktioniert diese recht statische Methode gut. Aber was ist, wenn es sich um False Positives handelt oder eine Website zur Verteilung von Malware nicht erkannt wird? Ein erfahrungsbasierter Ansatz erkennt schließlich nur Webseiten oder Dateien, die auf der Blacklist erfasst sind, auch wenn es sich um False Positives handelt.

Die wahre Geschichte eines False Positives?

Mit diesem Problem sehen sich zurzeit viele Nutzer von Library Genesis und deren zahlreichen Klonen konfrontiert. Diese Onlinebibliothek stellt ihren Nutzern über 2 Millionen Dokumente und Bücher zum kostenlosen Download bereit. Unter diesen Dokumenten findet sich höchstwahrscheinlich urheberrechtlich geschütztes Material, viele Fachartikel und – wie es auf P2P-Downloadseiten häufig der Fall ist – einige mit Malware infizierte Dateien.

Natürlich ist nur ein kleiner Teil der Dateien tatsächlich mit Malware infiziert. Nichtsdestotrotz berichten Nutzer des Dienstes seit Kurzem, dass Firefox den Download von Dateien in einigen Fällen stoppt, hier aber offenbar nicht einheitlich vorgeht. Die beiden Optionen, die das Firefox-Pop-up zulässt, nämlich die Datei zu löschen oder zu öffnen, empfinden die Nutzer als nicht zufriedenstellend, zumal Firefox diese Dateien nur oberflächlich geprüft hat.

„Anstatt dem Anwender also die Möglichkeit zu geben, die Datei zu speichern und sie mit dem eigenen Antivirenprogramm zu prüfen, lässt Firefox nur zu, die Datei zu öffnen oder sofort zu löschen. Für Dateien, die im Verdacht stehen, Malware zu enthalten, ist das vermutlich keine besonders gute Lösung“, berichtet ein Nutzer auf dem Blog „Theindy.us“.

Im Zweifelsfall selbst prüfen

„Dem stimme ich voll und ganz zu“, sagt Alexander Vukcevic, Leiter der Avira Protection Labs. „Die Warnung sollte so geändert werden, dass Nutzer verdächtige Dateien nur noch speichern können, ohne sie direkt auszuführen. So können sie die Datei für ein zuverlässiges Ergebnis mit ihrer Antivirussoftware scannen, ohne sie öffnen oder ausführen zu müssen.“

Denn das ist eine der Grundregeln für eine gute Sicherheitspraxis: verdächtige Dateien immer prüfen, bevor man sie öffnet. So kann das Antivirusprogramm Malware bereits stoppen, bevor sie aktiv wird und auf dem Computer verheerenden Schaden anrichten kann.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.