Chip.de verteilt hartnäckige Spyware

Es ist schon ein paar Jahre her, vielleicht auch ein wenig länger, da vertrat ich noch allen Ernstes die Einstellung, „Brain 1.0“ reiche völlig aus, um gegen sämtliche Schadsoftware im Internet gefeit zu sein. Man müsse doch eigentlich nur immer aufpassen, worauf man klickt, keine unbekannten E-Mail-Anhänge zu öffnen, und beispielsweise Installationsprogramme nicht ungelesen abzunicken. Dass ich mit dieser zweifelhaften Schutzmaßnahme selbst nie besonders weit gekommen bin, schien mir immer wieder entfallen zu sein. Heute bin ich aber gänzlich anderer Meinung. Heute weiß ich, dass selbst IT-Experten oftmals Situationen falsch einschätzen, besonders wenn es mal schnell gehen soll. Der Laie jedoch hat ohne Schutzsoftware heute wahrscheinlich keine Chance mehr. Das Internet wird seit Jahren geflutet mit Malware direkt aus der Feder zwielichtiger Gestalten, die auf skrupellose Weise Geld von arglosen Nutzern erpressen oder heimlich Daten abgreifen wollen.

Was nun für manche eher wie ein übertriebenes Horrorszenario klingt, ist längst Realität: Fast jeder kennt jemanden, der schonmal Ransomware auf dem Rechner hatte, dessen IE mit unzähligen bunten Toolbars überfrachtet war, der beim Windows-Start ständig merkwürdige blinkende Popups angezeigt bekommt, etwa „Ihr Computer ist in Gefahr! – Kaufen Sie sich jetzt unseren Virenschutz!“, oder dessen Browser beim Start immer zuerst irgendwelche Casino-Webseiten aufmacht. Was bei so manchen Eltern und Großeltern am PC heimlich im Hintergrund an Prozessen läuft, will man sich gar nicht vorstellen. Und nur weil ein Programm sich nicht offensichtlich im Vordergrund zeigt, heißt das nicht, dass es nichts macht.

Aber das ist ja immer so weit weg. Kann mich ja gar nicht betreffen, ich pass ja auf! So lange, bis man dann eben doch mal danebenklickt, und schon ist es passiert. Erst vor einigen Monaten wurde ich ja selbst von unerwünschter Werbesoftware von MAGIX beglückt, die sich fest ins System eingeklinkt hat. Und der aufmerksame Leser wird an dieser Stelle den Braten schon gerochen haben: Es hat mich inzwischen schon wieder erwischt! Entweder werde ich nun langsam alt, oder die Angriffsvektoren der Schadprogramme werden doch immer raffinierter.

Kürzlich wollte ich ein kleines Tool installieren, das mir von einem Kollegen empfohlen wurde. Den Namen des Programms schnell in der Suche eingetippt, und ganz oben in der Trefferliste tauchen meistens die bekannten deutschen Downloadportale chip.de und heise.de auf. Um den ersten erhobenen Zeigefinger der Leser nun vorweg zu kommentieren: Ja, meistens versuche ich auch, Programme direkt auf den Webseiten des Herstellers herunterzuladen. Doch einige schlechte Erfahrungen mit Downloads direkt auf den Webseiten von Softwareherstellern haben eine besondere Art von Faulheit, und so eine kleine Nachlässigkeit in mir entstehen lassen. Anbieter von Programmen, die in ihrer Download-Rubrik die Eingabe einer gültigen E-Mail-Adresse, oder gar die Erstellung eines vollständigen Accounts für einen simplen Download einfordern, obgleich ich mir oftmals sicher bin, deren Webseite in meinem ganzen Leben kein zweites Mal aufsuchen zu müssen, haben mich hier gewissenmaßen umerzogen.

In meinem Kopf war chip.de BISLANG zumindest noch ein einigermaßen seriöses Downloadportal, daher wählte ich den schnellen Weg. Wär ja auch nicht der erste Download dort für mich. Der Download-Button war auch gleich in Reichweite, doch diesmal war es irgendwie anders als sonst: Mir wurde der „Chip-Downloader“ angeboten, mit dessen Hilfe ich das Programm auf den Rechner installiert bekäme – alles so einfach und vor allem sicher, wie mir versichert wurde. Ich weiß noch, dass ich mich eine ganze Weile nach einem manuellen Download umgesehen habe. Da war keiner. Ich sträubte mich gegen den doofen Downloader, obwohl es natürlich auch nicht das erste Programm dieser Art für mich war. Ich habe zum Beispiel auch schon einmal den Amazon-Downloader installiert, der mir meine gekauften MP3s auf die Festplatte lädt. Aber den von chip.de wollte ich wirklich nicht haben. Schließlich klickte ich dann doch auf den Schalter und los ging das Elend.

Wie versprochen, begann der Chip 1-Click Downloader das von mir gewünschte Programm herunterzuladen. Und dann wollte mir der Downloader gleich diverse Desktop-Icons von Werbekunden einrichten. Aber hey, auch das Ablehnen von unerwünschter Werbesoftware (Java-Freunde kennen sicherlich die Ask-Toolbar) in den Installern sind wir Endkunden mittlerweile gewöhnt, also habe ich fleißig die Häkchen überall rausgemacht. Als nächstes wollte er noch eine weitere tolle Werbesoftware installieren, an deren Namen ich mich nicht mehr erinnern kann. Am Ende hatte ich dann auch diesen Spießrutenlauf überstanden und die gewünschte Software auf dem Rechner.

Durch Zufall entdeckte ich einen Tag später, dass im Hintergrund der Prozess „chip 1-click installer.exe“ läuft. Als Windows-Dienst. Tja, ein wenig erschrocken habe ich mich schon. Ich habe den Chip-Downloader zwar einmalig gestartet, doch mitnichten eine Einwilligung dafür gegeben, dass das Scheißprogramm sich bei mir auf der Festplatte breitmachen darf, und schon gar nicht dafür, permanent im Hintergrund mitzulaufen. Der Ordner „C:\Program Files (x86)\Chip Digital GmbH\“ ließ sich trotz Administratorkonto nicht löschen („Zugriff verweigert“), der Dienst ließ sich unter Verwaltung/Dienste nicht beenden („Zugriff verweigert“), und der Prozess ließ sich auch mit Hilfe von Sysinternals Process Explorer nicht abschießen („Zugriff verweigert“). Das Programm hatte sich im System eingenistet und wehrte sich hartnäckig gegen die Entfernung. Das sind Malware-Techniken und damit im Grunde kriminell. Eine Software, die so etwas nötig hat, kann gar keine guten Absichten haben. Witzigerweise habe ich tatsächlich einen simplen Uninstaller unter „Programme und Funktionen“ gefunden, der bei aller Dreistigkeit noch meinen Browser auf chip.de lenkt.

Auf einer Seite, die vor dem Chip-Installer warnt, fand ich den Hinweis, dass man eine Systemwiederherstellung durchführen sollte, um sicherzugehen, dass nichts von der unerwünschten Software auf dem Rechner zurückbleibt. Also habe ich das System auf den Zeitpunkt von vorgestern zurückgesetzt, was auch problemlos funktionierte. Dann erfuhr ich in Foren auch, dass der Chip-Downloader im Verdacht steht, weitere Malware und Toolbars nachzuinstallieren. Von vielen Virenscannern wird der Chip-Downloader als Backdoor erkannt. Er führt im Hintergrund ein Tracking von Nutzerverhalten durch, nimmt Kontakt zu diversen Servern im Internet auf und lädt die Daten dort hoch. Das perfideste an der Masche von chip.de ist, dass nicht jeder Nutzer den Chip-Downloader „angeboten“ bekommt. Es hängt davon ab, welches Betriebssystem, welchen Browser und welche Browser-Addons man verwendet.

Chip.de hat sich von einem halbwegs seriösen Downloadportal komplett ins Gegenteil gekehrt, verteilt nun auf unverschämte Weise Spyware, die sie den eigentlichen Downloads vorschalten, um Rechner mit ihrer Tracking-Software zu verseuchen – alles unter dem Vorwand höherer Sicherheit, eines „besseren Nutzererlebnisses“, und komfortableren Downloads. Aber natürlich geht es im Vordergrund nur darum, den Nutzer an die Werbekunden zu verkaufen, sich seine Nutzerdaten einzuverleiben, sein Nutzungsverhalten (z.B. aufgerufene Programme und Webseiten) zu speichern und weiterzugeben. Chip.de ist ein skrupelloser Scheißverein, den ich ab sofort um jeden Preis meiden werde. Und ich kann nur jedem raten, sich ebenfalls von dort fernzuhalten. Es ist wirklich unglaublich, wo man sich mittlerweile im Netz überall etwas einfangen kann. Selbst wenn man glaubt, dass man sich schützt, erreicht man unwissentlich oft genau das Gegenteil. Erfolgreiche Smartphone-Apps werden heimlich von Werbeunternehmen gekauft und in Spionagewerkzeuge umgewandelt, die dann auf Millionen von Geräten installiert sind. Selbst in der Steam-Bibliothek können sich heutzutage Spiele befinden, die heimlich für den Entwickler Bitcoins erzeugen.

Doch in Zeiten, in denen selbst Windows 10 sich großzügig beim Kunden Nutzvieh Benutzer bedient mit seiner umfangreichen Telemetrie, die sich im besten Fall teilweise abstellen lässt, dürfte das aber keinen mehr interessieren. Was noch vor wenigen Jahren jeden Nutzer und Datenschützer auf die Straße getrieben hätte, ist längst im Begriff, sich gesellschaftlich als völlig normal zu etablieren. Die Hemmschwelle wird jedes Jahr ein Stück weiterbewegt, bis uns bald nichts mehr juckt. Wäre ich ein Windows 10-Benutzer, hätte ich mir vermutlich denken sollen, dass der Chip-Downloader ein total praktisches Programm ist, das mir viele Vorteile bietet. Aber solange mir noch nicht alles scheißegal ist, ist es in meinen Augen auch nur ein mieses Stück Schadsoftware, wofür Chip.de juristisch zur Verantwortung gezogen gehört. Genau wie Microsoft.

5 Gedanken zu „Chip.de verteilt hartnäckige Spyware

  1. Sascha

    Mal aus Neugier: Wenn die Herstellerwebseite eine Registrierung erfordert, erlaubt der chip.de Downloader dann das ganze ohne Registrierung oder Ähnlichem? Ich habe bei Download über den manuellen Link die Erfahrung gemacht, das man auf die Herstellerwebseite umgeleitet wird, wenn für den Download eine Registrierung notwendig wäre.

    Antworten
    1. Vince Beitragsautor

      Den Chip-Downloader habe ich erst einmal verwendet, aber ich denke, der wird auch nur das herunterladen können, was auf den chip.de-Servern liegt und auch per „manuellem Download“ verfügbar wäre. Insofern wird sich das nicht unterscheiden.

      Aber ich habe tatsächlich die gegenteilige Erfahrung wie du gemacht. Bei chip.de liefen die Downloads oft recht unbürokratisch ab, während der jeweilige Hersteller mindestens meine E-Mail-Adresse verlangt hat („Subscribe for Newsletter“ war dann optional). Aber das mag natürlich von Fall zu Fall unterschiedlich sein.

      Jedenfalls hat es sich zuvor für mich immer gelohnt, für einen schnellen, problemlosen Download mal bei chip.de vorbeizuschauen. Jetzt ist diese Webseite für mich endgültig verbrannt. Auch wenn wir im Zeitalter des gläsernen Bürgers leben, gibt es für mich weiterhin Grenzen.

      Antworten
  2. Oli

    Selbst wenn der Chip-Installer ansich nichts Böses tun sollte – wer kann sich denn noch auf die Werbekunden verlassen? Ich habe jetzt schon oft genug sehr dubiose Werbung auf eigentlich seriösen Seiten gesehen. Vermutlich, weil niemand mehr nachvollziehen kann, wer eigentlich in diesen Werbenetzwerken so mit drin hängt. Ganz besonders nervig aufgefallen ist mir da auch diese Weiterleitung, die hauptsächlich auf mobilen Geräten auftaucht, und einem mittels Dialogbox irgendeinen Gewinn verspricht. Wer sagt dass solche Dinge nicht auch bei Werbefinanzierten lokal installierten Programmen auftritt? Am Ende dienen solche Programme dann nur als Einfallstor für weitere Malware, Ransomware und Trojaner.

    Interessieren würde mich auch wie Chip.de das Tracken von Benutzerdaten mit der DSGVO in Einklang bringt.

    Antworten
    1. Vince Beitragsautor

      So eine Art „Gewinn“- bzw. Rabatt-Dialogbox bei lokal installierter Software hatte ich ja kürzlich beim Magix Music Maker, und das war keine werbefinanzierte Software. Und keiner kann beurteilen, was diese Software außerdem noch alles macht.

      Ich bin beim routinemäßigen Lesen der IT-Nachrichten von Jahr zu Jahr mehr erschrocken, was mittlerweile alles hinter dem Rücken der Nutzer angestellt wird. Teilweise komplett heimlich, teilweise mit ein bisschen arroganter Transparenz á la vollendete Tatsachen, teilweise völlig schamlos. Manchmal kommt es nachträglich raus, dann gibts ein bisschen negative Berichterstattung, aber natürlich keine Konsequenzen. Und heute interessiert es selbst die Nutzer kaum noch. Ich bin der Meinung, es müsste ein gesetzlicher Default in Software bestimmt werden, der jegliche Datenschnüffelei verhindert. Wer dann möchte, darf gerne alle verfügbaren Telemetrie-Dienste per Opt-In einschalten, um der armen armen Softwarefirma bei der Verbesserung der Benutzererfahrung zu helfen. Ein Opt-Out ist nicht mehr in Ordnung.

      Der Chip-Installer mag wohl keine klassische „Malware“ im eigentlichen Wortsinn sein, aber was ein „Schaden“ ist, das hängt eben ganz davon ab, was mit den abgeleiteten Daten angestellt wird. Welcher Schaden das ist, und wie groß der Schaden ist, lässt sich mitunter erst viel später feststellen, wenn mal an irgendeiner Stelle der Verwertungskette ein Leck entsteht, und Hacker sich über die vielen nützlichen Informationen freuen.

      Haha, ja, die DSGVO. Ich nehme da mal als Beispiel so einen Dienst wie Twitter: „Wir machen mit deinen Daten was wir wollen, und wir teilen sie mit drölftausend Diensten, und wenn du das nicht willst, dann verpiss dich einfach. Ist das ok für dich?“ – „Ja“ | „Nein = Account löschen“.
      Ich habe in den DSGVO-Schulungen noch ganz naiv gelernt, dass mir die Anbieter leicht verständlich auflisten müssen, WAS sie mit meinen Daten machen wollen, WER die Daten bekommt, und dass ich dann jedem Use-Case einzeln zustimmen oder ablehnen kann. Aber die meisten Anbieter machen da ein „All-In“-Konzept draus. Nimm alles, oder hau ab.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert