DataSpii: Browser-Addons spionieren Millionen Nutzer aus

Browser-Erweiterungen haben das Surf-Verhalten von insgesamt 4,1 Millionen Menschen ausspioniert. Auf die teils persönlichen Daten hatten Dritte Zugriff.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
DataSpii: Browser-Addons spionieren Millionen Nutzer aus

Diverse Browser-Erweiterungen haben Nutzer ausspioniert – Dritte konnten ihr Surf-Vehalten mitverfolgen.

(Bild: Sam Jadali)

Lesezeit: 4 Min.

Einerseits sind Browser-Erweiterungen total praktisch, andererseits können sie ganz schön neugierig sein – und den Nutzer gezielt ausspionieren. Das zeigt nun wieder ein aktuelles Beispiel mit dem Namen "DataSpii". Der Sicherheitsforscher Sam Jadali hatte sich 200 Erweiterungen für Chrome und Firefox genauer angeguckt und festgestellt, dass einige von ihnen fleißig Daten sammeln und das Surf-Verhalten der Nutzer protokollieren. Die Erweiterungen übertrugen die gesammelten Daten dann an Dritte. In Summe sind die Surf-Daten von insgesamt 4,1 Millionen Menschen betroffen.

Amazon.com hat aus dieser Überwachung jüngst sogar einen Deal entwickelt: Anlässlich der "Prime Days" bot das Unternehmen den Prime-Kunden 10 US-Dollar an, wenn die sich über die Browser-Erweiterung "Amazon Assistant" überwachen ließen. Im Kleingedruckten erklärte Amazon, dass der "Assistant" eben auch die aufgerufenen Webseiten erfasst. Sicherheitsexperten gehen davon aus, dass es im Netz Tausende Browser-Addons gibt, die genau das machen. Vielen Nutzern dürfte nicht klar sein, dass ihr gesamter Verlauf protokolliert wird. Die Erweiterungen greifen die aufgerufenen URLs, die Webseiten-Titel – und diverse Informationen ab, die in den URLs eingebettet sind.

Sam Jadali konnte aus den gesammelten URLs etwa Namen, Medikamente, Bestätigungsnummern, Aktenzeichen und andere sensible Daten auslesen. Ein "katastrophales Datenleck" sei das, schreibt Jadali in seinem Report. Persönliche und interne Daten von mehr als 50 großen Unternehmen seien offengelegt worden, schreibt die Washington Post. Aufgefallen war dieses Datenleck durch das Angebot der Plattform "Nacho Analytics", die den Kunden für 49 US-Dollar im Monat einen "God Mode" fürs Internet versprach. "Sehen Sie jedermanns Analytic-Account", warb die Plattform, die inzwischen keine Neukunden mehr aufnimmt und den Service vorerst eingestellt hat.

DataSpii: Dritte konnten das Surf-Verhalten von Nutzern über Browser-Erweiterungen mitverfolgen.

(Bild: Sam Jadali )

Wer bei "Nacho Analytics" zahlte, bekam Zugriff auf die Surf-Aktivitäten von Millionen Nutzern – in Echtzeit. Über die Plattform konnte man mitverfolgen, welche Seiten Nutzer gerade aufriefen. Sieben Monate lang waren hier die zahllosen URLs zu sehen, darunter Links zu Videoüberwachungssystemen, persönlichen Inhalten, OneDrive-Ordnern, Dateianhängen des Facebook Messengers sowie zu privaten Facebook-Fotos. Über die URL ließen sich auch Seiten aufrufen, die nicht für die Öffentlichkeit gedacht waren.

Offenbar haben Browser-Erweiterungen wie "Hover Zoom" für Chrome das Surf-Verhalten an "Nacho" übertragen. Bei der Installation informierte das Addon, dass es den Surf-Verlauf lesen und ändern könne. Dass die Daten weiterverkauft werden, war hier aber nicht zu erfahren. "Nacho" selbst sagt, die Daten kämen von Menschen, die sich freiwillig tracken lassen, die der Überwachung also zugestimmt hätten. Die Nutzer würden anonymisiert. Über die URLs aber sind sie eben doch zu identifizieren, wie Sam Jadali zeigen konnte.

Die Washington Post berichtet, dass Jadali einen Redakteur ausfindig machen und über "Nacho" sein Surf-Verhalten mitverfolgen konnte. Dieser Redakteur hatte zuvor "Hover Zoom" installiert, ein Chrome-Addon, das Bilder vergrößert. (Mehr als 800.000 Chrome-Nutzer hatten "Hover Zoom" in Gebrauch.) Jadali konnte insgesamt sechs verdächtige Chrome- und Firefox-Erweiterungen identifizieren: Hover Zoom, SpeakIt!, SuperZoom, SaveFrom.net Helper, FairShare Unlock und PanelMeasurement. Google und Mozilla haben die Erweiterungen inzwischen gesperrt. Wie genau "Hover Zoom" technisch funktionierte und Informationen erfasste, erläutert Ars Technica in einem ausführlichen Beitrag.

In den Nutzungsbedingungen der erwähnten Addons steht zwar, dass sie "Daten sammeln". Aber nur zwei von ihnen erklären explizit, dass sie die Aktivitäten im Browser erfassen. Die Nutzer sollten dafür belohnt werden. Es ist aber anzunehmen, dass sehr vielen Leuten nicht bewusst war, dass ihr Surf-Verhalten überwacht wurde. Die Warnhinweise der Browser werden oft ungelesen weggeklickt – und wer liest sich schon die Nutzungsbedingungen durch? Bei Browser-Erweiterungen ist Vorsicht angesagt, "DataSpii" ist nur die Spitze des Eisbergs – immer wieder finden Sicherheitsforscher spionierende Browser-Erweiterungen. Einige der Addons fangen erst verzögert an, Daten zu erfassen oder verwandeln sich im Laufe der Zeit in Spyware. (dbe)