Browsererweiterungen sind eine nützliche Angelegenheit. Mit ein paar Klicks rasch eingerichtet, bringen sie Firefox, Chrome und Co spannende neue Tricks bei. Doch das Ganze hat auch eine Kehrseite: Vielen Nutzern ist nicht klar, welch tiefen Einblick sie den Erweiterungen hier zum Teil in ihr gesamtes Surfverhalten geben. Und mit diesen Möglichkeiten gehen längst nicht alle Entwickler von solchen Extension verantwortungsvoll um, wie nun ein aktueller Bericht verdeutlicht.

Spionage-Tools

Der Sicherheitsforscher Sam Jadali hat eine Reihe von spionierenden Erweiterungen für Firefox und Chrome offengelegt. Alleine im Google-Browser sollen diese in Summe von rund 4,1 Millionen Nutzern verwendet worden sein. Was ihnen allen gemein ist: Sie spionierten das komplette Surfverhalten der User aus. Und zwar umfassend.

Aufgeflogen ist die Geschichte durch einen etwas zu offensiv agierenden Datenhändler: Die Firma Nacho Analytics. Dieser versprach den eigenen Kunden für 49 US-Dollar monatlich wörtlich einen "God Mode für das Internet" – und unerfreulicherweise ist das nicht zu viel versprochen: Wer bereits ist für den Dienst zu zahlen, bekommt damit Zugriff auf das Web-Aktivitäten von Millionen Nutzern – und zwar in Echtzeit. Was hier zu sehen ist, ist mehr als problematisch: So erhielt der Sicherheitsforscher über die zugehörige URL etwa Zugriff auf sensible Dokumente bei Services wie Onedrive. Auch private Überwachungsvideos, Buchungen aller Art und selbst Patientendaten konnten mithilfe dieses Tools eingesehen werden.

Doch damit noch nicht genug, unterwandert das Tool auch die Sicherheitsmaßnahmen von Unternehmen. So konnte der Sicherheitsforscher etwa Überschriften von vertraulichen Diskussionen bei Firmen wie Apple, Tesla oder auch bei diversen Sicherheitsdienstleistern einsehen. Als Zielgruppe hatte Nacho Analytics vor allem Werber auserkoren, die auf diesem Weg ihren Datenschatz beträchtlich erweitern konnten.

Analyse

Jadali vermutete schnell, dass dahinter spionierende Browsererweiterungen stecken könnten, und da in im Datensatz von Nacho Analytics auch Informationen über einzelne seiner Kunden zu finden waren, analysierte er kurzerhand die Extensions, die auf deren Rechnern zu finden waren. Und tatsächlich konnte er so nachweisen, dass ein Erweiterung namens "Hover Zoom", die eigentlich nur Bilder auf Webseiten vergrößern soll, sämtliche besuchten Seiten ins Internet verschickte, und diese Daten bereits kurz danach bei Nacho Analytics zu sehen waren. Infolge nahm sich Jadali noch weitere Erweiterungen vor, und wurde dabei noch mehrmals fündig – und zwar nicht nur bei Chrome-Extensions sondern auch solchen für den Mozilla-Browser Firefox. In allen ist die selbe Spyware versteckt, die der Sicherheitsforscher kurzerhand Dataspii getauft hat.

Rauswurf

Sowohl Google als auch Mozilla haben die betreffenden Erweiterungen mittlerweile aus ihren jeweiligen Web Stores entfernt. Zudem werden betroffene Nutzer über die Erweiterungsseiten im Browser über diesen Umstand informiert. Nacho Analytics hat infolge ebenfalls seinen Service eingestellt, man habe einen dauerhaften Datenverlust erlitten, heißt es in einer kurzen Mitteilung.

Einschätzung

Allerdings ist davon auszugehen, dass dieser Vorfall nur eine Spitze des Eisbergs ist. Die Gründe dafür sind vielschichtig: So werden zwar vor der Installation von Erweiterungen üblicherweise Warnhinweise angezeigt, die den Umfang des Zugriffs auf private Daten, den man damit gewährt, erläutern. Viele Nutzer ignorieren das aber, wohl auch weil sie keine andere Wahl haben, wenn sie die betreffende Erweiterung verwenden wollen. Gerade Extensions, die den Inhalt von Webseiten verändern, sind dabei besonders problematisch, da sie üblicherweise einen Vollzugriff auf die Browser-Aktivitäten der Nutzer benötigen, um ihre Arbeit verrichten zu können.

Als weiteres Problemfeld hat sich in den vergangenen Jahren der Handel mit Erweiterungen herausgestellt: Immer wieder haben Entwickler ihre an sich harmlosen Extensions an Datenhändler verkauft, die dann von einem Tag auf den anderen die Nutzer ausspionierten. Zudem nutzen manche Erweiterungen aber auch einfach aus, dass die Nutzer meist nicht lesen, welchen Dingen sie zustimmen. So zeigten sich die Entwickler von einer der jetzt gelöschten Extensions geradezu empört über ihren Rauswurf. Immerhin habe man vorab explizit die Genehmigung der Nutzer für die Datenspionage eingeholt, so die Argumentation.

Versprechen

Bei Mozilla und Google versichert man, laufend an weiteren Verbesserungen zum Schutz vor bösartigen Erweiterungen zu arbeiten. Der aktuelle Vorfall verdeutlicht nun aber, dass man dabei offenbar nur begrenzt erfolgreich ist. Immerhin sind solche Machenschaften nicht neu, bereits im Jahr 2017 hatten Sicherheitsforscher 212 Chrome-Erweiterungen identifiziert, die damals acht Millionen Nutzer ausspioniert hatten. (Andreas Proschofsky, 19.7.2019)