Erweiterung für Chrome und Firefox spionierte Millionen User aus

    6. Juli 2018, 10:26
    16 Postings

    Stylish sammelte bereits seit einem Jahr unbemerkt den gesamten Web-Verlauf – Google und Mozilla entfernen Erweiterung

    Wer schon einmal nach einer Browsererweiterung gesucht hat, um den Look einer Seite dem eigenen Geschmack anzupassen, dürfte bereits über Stylish gestolpert sein. Immerhin macht die Extension solche Aufgaben besonders einfach, und erfreute sich entsprechend hoher Popularität. Damit ist es nun vorbei, sowohl Mozilla als auch Google haben Stylish aus ihren Web Stores geworfen.

    Mitlesen

    Der Grund für diesen Schritt ist ein äußerst unerfreulicher: Wie Softwareentwickler Robert Heaton entdeckte, spionierte die Extension nämlich sämtliche Aktivitäten der User im Netz aus. Demnach wurden seit mehr als einem Jahr sämtliche genutzten Webseiten, IP-Adressen und auch Suchanfragen an den Betreiber geschickt.

    Ausgangspunkt dieser Aktivitäten dürfte der Verkauf von Stylish an die Web-Analysefirma SimilarWeb Ende 2016 gewesen ein. Diese gesteht zwar zu, dass man Daten sammelt – immerhin ist das das eigene Geschäftsmodell – verweist aber darauf, dass dies anonymisiert erfolgt. Dem widerspricht hingegen Heaton: Die Analyse der übertragenen Daten zeige, dass diese mit einem eindeutigen Identifikator versehen sind, der auf einzelne Nutzer beziehungsweise Browser-Installationen zurückgeführt werden kann. Damit ließe sich auch E-Mail-Adressen und reale Identität eines Nutzers herausfinden.

    foto: robert heaton
    Eindeutige Beweise für die Datenübertragung.

    Entfernung

    Von dem Vorfall sollen rund zwei Millionen Nutzer betroffen sein, die Stylish zuletzt genutzt haben. Einmal mehr zeigt diese Episode aber auch ein grundlegendes Problem in Hinblick auf Browsererweiterungen auf. Nämlich, dass diese oft ohne Wissen der Nutzer ihre Besitzer wechseln, die dann komplett andere Ziele damit verfolgen, was meist heißt die Daten der User zu Geld zu machen. Gegenüber dem STANDARD betonte Chrome-Sicherheitschefin Parisa Tabriz vor einigen Monaten, dass man sich dieses Problems bewusst sei, und die entsprechenden Checks verschärfen und Entwickler besser prüfen wolle. In diesem Fall scheinen diese Maßnahmen aber nicht gegriffen zu haben. (apo, 6.7.2018)

    Share if you care.