Theoretisch kann sich in Add-ons natürlich Schadcode verbergen. Aber sie werden vor Veröffentlichung auf ATN einem Review unterzogen und die bekannteren werden von tausenden Leuten benutzt. Da wäre Schadcode hochstwahrscheinlich aufgefallen. Und zur Not kann sich jeder den Code des Add-ons selber ansehen.
Hallo,
ich habe eben nach ein Addon gesucht, eins gefunden (Grammatik- und Rechtschreibprüfung - LanguageTool) und mal unter Berechtigungen nachgesehen. Dort stand ebenfalls "Vollständiger Zugriff auf Thunderbird und Ihren Computer".
Ich bin zwar Softwareentwickler und musste mich zwangsläufig die letzten 2 Jahre mit Security beschäftigen - aber es ist nicht mein Fachgebiet und ich sehe mich nicht als prof. Penetration-Tester oder Hacker in irgendeine Form. Trotzdem bekommt man einiges mit.
Und war es nicht der Google Playstore, wo Schadsoftware verteilt wurde wie irre? Und ja, auch dort wurde die Software geprüft. Wie konnte es also passieren?
Die Software wurde releast und im Playstore beantragt als das, wofür sie eben "offensichtlich" gemacht wurde. Dann kommt Google daher, validiert die Software und Angaben ehe sie für den Playstore freigegeben wird.
Ist sie jetzt im Playstore, erfolgten keine Kontrollen seitens Google mehr. Wozu auch, die Software wurde ja kontrolliert/validiert!
...und was ist mit Updates?
Jetzt kann fröhlich die Software im Store verändert werden. Nicht unbedingt sofort - man wartet ein paar Monate, damit sie genug Nutzer hat - logisch. Aber meines Wissens nach ist es so geschehen, im 5-stelligen Bereich an Apps. Heute geht das nicht mehr im Playstore.
Aber, da die Addons bei Thunderbird zum großen Teil ebenfalls von Drittanbietern stammen und die sicherlich ebenfalls geprüft werden, stellt sich mir die Frage; ob sie in einem bestimmten zeitlich Turnus oder nach Updates erneut geprüft werden?
Falls nicht, könnte ich mir die ein oder andere böse Überraschung vorstellen.