{"id":285226,"date":"2023-08-24T04:00:25","date_gmt":"2023-08-24T02:00:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285226"},"modified":"2023-12-10T13:46:20","modified_gmt":"2023-12-10T12:46:20","slug":"chrome-browser-installiert-automatisch-apps-verknpfungen-auf-windows-clients","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/24\/chrome-browser-installiert-automatisch-apps-verknpfungen-auf-windows-clients\/","title":{"rendered":"Chrome-Browser installiert automatisch Apps\/Verknüpfungen auf Windows-\/Linux-Clients"},"content":{"rendered":"

[English<\/a>]Ich muss mal wieder den Blog als Honeypot verwenden und das Schwarm-Wissen der Leserschaft anzapfen. Ein Blog-Leser und Administrator in einer Unternehmensumgebung hat mich gerade per E-Mail \u00fcber eine unsch\u00f6ne Beobachtung informiert. Der Google Chrome-Browser legt in deren Windows-Umgebung selbstt\u00e4tig Verkn\u00fcpfungen an oder installiert eigene Apps. Die Frage ist, ob andere das auch beobachtet haben und ob es eine M\u00f6glichkeit gibt, dies zu verhindern. Erg\u00e4nzung:<\/strong> Inzwischen liegen mir mehrere unabh\u00e4ngige Best\u00e4tigungen vor, wo Administratoren in Unternehmensumgebungen das Verhalten beobachten. Und es gibt eine R\u00fcckmeldung, dass das Problem auch unter Ubutu\/Linux auftritt.<\/p>\n

Eine Lesermeldung<\/h2>\n

\"\"Blog-Leser Andreas G. arbeitet im IT-Bereich einer Organisation, bei der der Google Chrome wohl im Einsatz ist. Die Verteilung der MSI-Installationen f\u00fcr den Google Chrome-Client erfolgt \u00fcber eine Unified Endpoint Management-L\u00f6sung von baramundi.<\/p>\n

Bei der baramundi Management Suite handelt es sich um einen Software zum Desktop- bzw. Client-Management der baramundi software GmbH. Die L\u00f6sung erm\u00f6glicht es, Routineaufgaben wie Installation, Verteilung, Inventarisierung, Schutz und Backup zu automatisieren. Als gro\u00dfer Vorteil wird die Reduzierung des Arbeitsaufwands genannt.<\/p><\/blockquote>\n

In seiner Mitteilung berichtet Andreas \u00fcber eine unsch\u00f6ne Beobachtung, die Administratoren in Unternehmensumgebungen Probleme verursachen:<\/p>\n

Hallo Herr Born,<\/p>\n

wir haben seit einigen Tagen das Ph\u00e4nomen, dass Google Chrome automatisch eigene Apps\/Verkn\u00fcpfungen auf unseren Windows Clients installiert.<\/p>\n

Die Installation erfolgt meist wahllos , dabei ist es egal ob Chrome erst gerade installiert wurde oder schon l\u00e4nger auf den Computer vorhanden ist.<\/p>\n

Da es sich um Unternehmensger\u00e4te handelt, sind diese Verkn\u00fcpfungen nicht gew\u00fcnscht, da sie zum Nutzen dieser Dienste anregen.<\/p>\n

Google Chrome wird bei uns \u00fcber GPOs verwaltet, wir konnten bisher keine Einstellungen finden, die diese \"Installation\" unterbindet.<\/p>\n

Vielleicht haben Sie die M\u00f6glichkeit durch Ihre Reichweite mehr in Erfahrung zu bringen, da wir bisher im Netz dazu nichts passendes gefunden haben.<\/p>\n

P.S. die Chrome MSI wird uns durch\/\u00fcber Baramundi zur Verf\u00fcgung gestellt.<\/p><\/blockquote>\n

\"Installed<\/p>\n

Obiger Screenshot zeigt, dass der Chrome-Browser Apps aus der GSuite auf dem Client installiert hat. Es gibt von Google zwar den Beitrag Richer UI install available for desktop von Ende April 2023. Aber mir ist\u00a0 bei einer schnellen Recherche nichts an Treffern untergekommen, die auf obiges Problem der automatischen App-Installation eingehen. Lediglich dieser reddit.com-Post<\/a> fragt, wie Google Webanwendungen ohne Zustimmung des Nutzers installieren kann, bezieht sich aber auf eine aktuelle Google Chrome Beta unter Ubuntu.<\/p>\n

Frage an die Blog-Leser: Ist das noch jemandem aufgefallen, und falls ja, h\u00e4ngt das mit baramundi zusammen? Ist eine L\u00f6sung bekannt, um diese Installation per Gruppenrichtlinien zu unterbinden? Diesen Google-Supportbeitrag<\/a>, den ich auf die Schnelle gefunden habe, liefert keinen wirklichen Hinweis, da er sich auf Mobilger\u00e4te-Web-Apps bezieht. Und im Beitrag Richtlinien f\u00fcr Chrome-Apps und \u2011Erweiterungen festlegen (Windows)<\/a> konnte ich auf die Schnelle auch nichts finden, gehe aber davon aus, dass dem Betroffenen das bekannt ist.<\/p>\n

Weitere Best\u00e4tigungen<\/h2>\n

Erg\u00e4nzung: Nachdem der Beitrag online ging, habe ich in nachfolgenden Kommentaren, auf Twitter und auf Facebook Best\u00e4tigungen dieser Beobachtung gemeldet bekommen (danke daf\u00fcr). Ein Abriss externer Best\u00e4tigungen findet sich in diesem Sammel-Kommentar<\/a> von mir.<\/p>\n

Treffer bei Microsoft Answers<\/h3>\n

Zudem hat mir die Suche nach \"Chrome has installed apps Windows\" den (auch von HugBunter0815 in diesem Kommentar ebenfalls erw\u00e4hnten) Treffer auf den MS-Answers-Forenpost Chrome has installed shortcuts as apps in Add\/Remove Programs. Some of these shortcuts\/apps will not uninstall. How do I get rid of them?<\/a> ausgeworfen. Dort hei\u00dft es am 4. Juli 2023:<\/p>\n

Most of these shortcuts\/apps uninstalled, but some still remain. Right-clicking>uninstall is not removing them from the list. Any suggestions?<\/p><\/blockquote>\n

Der Hinweis auf einen infizierten Chrome l\u00e4sst sich im Kontext ausschlie\u00dfen, der Betroffene verweist auf einen MSI-Installer von Google, der verwendet wurde.<\/p>\n

Treffer bei Google nach Hack<\/h3>\n

Zudem hat mir eine neue Suche mit obigem Muster den vom 4. August 2023 resultierenden Post im Google Support-Forum<\/a> zu Tage gef\u00f6rdert, aus dem ich nun einige relevante Passagen herausgezogen habe:<\/p>\n

\n

Google web apps keep installing on their own sneakily onto my Windows devices.<\/p>\n

Dear Google Android,<\/p>\n

My Gmail account recently has got hacked and Google didn't notify me. The scammer is now in my Google proxy network but Google Play scanner couldn't identify any harmful apps at all.<\/p>\n

On 28th July 2023, one of my home PCs connected to Google services, with Passkeys registered, was scammed and hacked in a way out of sudden, my Windows 10 pro device with almost complete Google manipulation in the Windows Registry, installed by itself, without my consent, authorization, knowing and awareness, the following Google apps and programms onto my machine.<\/p>\n

The unauthorized installation of Google apps included:<\/p>\n

YouTube, Slides Sheets, Docs, Google Drive, Gmail etc.<\/p>\n

The official Chrome web app page should appear with its interface by default but acts strangely recently.<\/p>\n

At first the page appeared with default but duplicated apps both colored and uncolored of the app logos themselves, which page I bookmarked for long on my Google Chrome home page.<\/p>\n

Due to the strange behaviors of Chrome web app page, I deleted and eradicated all apps and everything in fear of and being skeptical that my Passkeys had brought and redirected me to a zee Google Chrome home page.<\/p>\n<\/blockquote>\n

Das w\u00e4re dann wieder das Thema \"Google Konto gehackt\" und irgend etwas infiziert. Hier bin ich aber nicht sicher, ob der Fall die obige Beobachtung trifft. Betroffene m\u00f6gen die Textwand, die der obige Poster bei Google auf den Supportseiten hinterlassen hat, diesbez\u00fcglich selbst durchgehen. Eine Antwort hat es da bisher noch keine gegeben.<\/p>\n

Erg\u00e4nzung: <\/strong>Im englischsprachigen Blog hat ein Leser mir noch einen Link auf den Google Forenbeitrag\u00a0How to prevent Chrome from Auto Installing Web Apps<\/a> gepostet. Der Eintrag stammt vom 16. August 2023 und beschreibt den gleichen Sachverhalt, hat aber noch keine Antwort, au\u00dfer einem R\u00fcckverweis auf meinen Blog-Beitrag. Auf administrator.de findet sich zudem dieser Beitrag<\/a> mit einer \u00e4hnlichen Beobachtung.<\/p>\n

Auch Linux betroffen<\/h2>\n

Erg\u00e4nzung 2: Blog-Leser Benjamin hat mich per E-Mail kontaktiert und schrieb mir, dass er die gleiche Beobachtung auch unter Ubuntu gemacht habe:<\/p>\n

Ich habe letzte Woche meinen Rechner mit der aktuellen Ubuntu LTS neu aufgesetzt und dann das Google Linux Repository eingebunden, danach habe ich Google Chrome installiert und die ganzen Google Verkn\u00fcpfungen wie von dir im Screenshot dargestellt tauchten auch bei mit unter Gnome auf.<\/p>\n

Bei der Installation von Chrome unter Ubuntu legt Google dabei Verkn\u00fcpfungen auf s\u00e4mtliche Apps unter ~\/.local\/share\/applications\/ ab. Was du bei mir siehst, ist die verbliebene f\u00fcr Chrome selbst.<\/p><\/blockquote>\n

\"Chrome
\nBenjamin schreibt, dass alles ohne root Rechte funktioniert (danke f\u00fcr die R\u00fcckmeldung). Damit kann man meine nachfolgenden Theorien \u00fcber bestimmte Windows-Software als Verursacher wohl knicken. Es scheint wirklich irgendwo im Chrome Installer zu stecken.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Es gibt R\u00fcckmeldungen im englischen Blog, dass die Apps auch unter macOS installiert werden.<\/p><\/blockquote>\n

Die Frage nach der Ursache<\/h2>\n

Jetzt bleibt die spannende Frage, ob sich mit Hilfe der Leserschaft eine Ursache f\u00fcr dieses Verhalten herausfinden l\u00e4sst. Betroffene sollten kl\u00e4ren, ob Malware oder ein Kontenhack die Ursache sein kann (halte ich aus dem Kreis der Administratoren im Firmenumfeld f\u00fcr weniger wahrscheinlich, aber nicht ausgeschlossen).<\/p>\n

In einem der nachfolgenden\u00a0 Kommentare erw\u00e4hnt Bernd<\/a> ist noch den \"Lenovo View Driver\" als m\u00f6glichen Verursacher. Hier w\u00e4re die Frage, ob alle anderen Betroffenen auch auf Lenovo-Maschinen unterwegs sind.<\/p>\n

Ich habe mal einen Bug-Report beim Chromium Projekt eingereicht<\/a> und auch auf patchmanagement.org diesen Eintrag<\/a> verfasst.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Ich muss mal wieder den Blog als Honeypot verwenden und das Schwarm-Wissen der Leserschaft anzapfen. Ein Blog-Leser und Administrator in einer Unternehmensumgebung hat mich gerade per E-Mail \u00fcber eine unsch\u00f6ne Beobachtung informiert. Der Google Chrome-Browser legt in deren Windows-Umgebung selbstt\u00e4tig … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356],"tags":[406,24,3288],"class_list":["post-285226","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","tag-chrome","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285226"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285226\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}