Firefox-Add-on "Web Security": Entwickler räumen Fehler ein
Das Firefox-Add-on "Web Security" sammelte zu viele Daten und übertrug sie unverschlüsselt. Das war ein Fehler, räumen die Entwickler ein und geloben Besserung.
Die Firefox-Erweiterung "Web Security" sollte Nutzer eigentlich vor bösartigen Webseiten schützen. Doch dann sperrte Mozilla das Add-on, weil es Daten über eine unverschlüsselte HTTP-Verbindungen an seinen Server schickte. Der Security-Spezialist Mike Kuketz hatte zuvor dokumentiert, dass "Web Security" die URLs der besuchten Seiten außerdem mit einer eindeutigen ID kennzeichnete, "die sich vermutlich einem User zuordnen lassen", schrieb Kuketz. Schlecht für die Sicherheit und die Privatsphäre der Nutzer.
Nun haben die Entwickler der Erweiterung auf die Kritik reagiert – und sich entschuldigt: "Uns sind Fehler in unseren kostenlosen Add-ons unterlaufen, für die wir uns hier in aller Form offiziell entschuldigen und welche wir aufklären möchten", schreibt Fabian Simon in einer E-Mail an heise online. Er räumt ein, dass die Kommunikation des Add-ons mit den Servern "nicht vollständig verschlüsselt war". Dieser Missstand wurde inzwischen serverseitig behoben, "ein Update für die Add-ons steht bereit", wenn es wieder freigegeben ist. "Web Security" lässt sich bei Mozilla weiterhin nicht herunterladen. Zuvor hatte Mozilla die Erweiterung in seinem Blog sogar offiziell empfohlen; inzwischen wurde die Passage aber entfernt. Mehr als 200.000 Firefox-Nutzer haben die Erweiterung installiert.
Mehr Transparenz, weniger Daten
Das Add-on hat die folgenden Daten übertragen: ID, "alte URL / alter Host", "neue URL / neuer Host", Hash, App, Agent und Language. Die ID verwendet der Dienst, "um eine Security-Chain aufbauen zu können, die aus bis zu fünf aufeinanderfolgenden Requests bestehen kann", erklärt Fabian Simon. Wenn der Nutzer eine bösartige Webseite aufruft, kann das Add-on durch die "alte URL" und die "neue URL" nachvollziehen, welche Seite den Nutzer auf die bösartige Seite geleitet hat. Mit diesem System würden die bösartigen Seiten eine "red"-Einstufung erhalten. Webseiten, die auf "red"-Seiten verlinken, erhalten die Einstufung "yellow". "Alle diese Daten werden genutzt, um unsere Heuristiken und Bedrohungsanalysen zu verbessern." Die übertragenen Dateien seien nur maximal 15 Minuten auf den deutschen Servern gespeichert, versichert Simon.
Das Add-on wird die Werte App, Agent, Language und "Hash" künftig nicht mehr an den Server übertragen: "Im Zuge der Updates werden diese Daten entfernt." Simon kündigte außerdem an, "Verwendungszwecke und Beschreibungen der übertragenen Daten ausführlicher und transparenter zu erklären". Um eine mögliche Remote-Code-Ausführung (RCE) zu verhindern, entfernen die Entwickler mit dem zukünftigen Update restliche noch vorhandenen Code-Fragmente. Mit einer RCE können Angreifer aus der Ferne auf Computer zugreifen. "Außerdem werden wir unser Qualitätsmanagement verbessern", um künftig Fehler zu vermeiden, schreibt Fabian Simon abschließend. (dbe)