Beliebte Browsererweiterungen für Google Chrome und Mozilla Firefox Sammeln und möglicherweise Profitieren von Benutzerdaten?

Browsererweiterungen erweitern die Funktionalität oder verhindern störende Aspekte von Webbrowsern. Berichten zufolge haben jedoch mehrere beliebte Erweiterungen für Mozilla Firefox und Google Chrome viele Daten von den Benutzern dieser Browser gesammelt und gehortet. Die Erweiterungen haben nicht nur Daten gesammelt, sondern scheinen auch davon zu profitieren. Übrigens laden Millionen von Benutzern die Browsererweiterungen immer noch aktiv herunter, installieren sie und aktivieren sie, ohne über die zusätzlichen Prozesse Bescheid zu wissen, die diese Erweiterungen ausführen. Neben dem Verbrauch von Bandbreite und der Gefährdung der Datenintegrität könnten die Erweiterungen auch die Produktivität beeinträchtigen.

Es gibt mehrere beliebte Browsererweiterungen. Millionen von Internetnutzern suchen eifrig nach ihnen und laden sie herunter, um zusätzliche Funktionen bereitzustellen. Mehrere Erweiterungen vereinfachen das Surfen, beseitigen Unordnung, blockieren Werbung oder lästige JavaScript-Applets, machen das Surfen produktiver oder optisch ansprechender und vieles mehr. Während die meisten Browsererweiterungen für gängige Webbrowser von engagierten Entwicklern entwickelt und gewartet werden, werden einige mit Hintergedanken entworfen und bereitgestellt. Ein kürzlich veröffentlichter Bericht enthielt eine Analyse einiger Browsererweiterungen und ihres illegalen Verhaltens, das Benutzer und ihre Daten gefährdet. Der Bericht ergab, dass mehrere beliebte Browsererweiterungen für Google Chrome und Mozilla Firefox ein ausgeklügeltes Schema zur Erfassung von Browserdaten verwendeten.

Der DataSpii-Bericht zeigt, wie einige beliebte Browser-Erweiterungen Daten gesammelt haben, ohne Verdacht und Erkennung zu vermeiden

Die Datenerfassung und die Versuche, davon zu profitieren, sind sehr ernst. Gleichermaßen wichtig sind jedoch die Methoden der Entwickler, die diese beliebten Browsererweiterungen für Google Chrome und Mozilla Firefox entwickelt und bereitgestellt haben. Die Erweiterungen hatten eine clevere Programmierung, die in den ersten Tagen nach der Installation inaktiv war. Dies hat die Benutzer höchstwahrscheinlich zu der Annahme verleitet, dass die Erweiterungen sicher und zuverlässig sind.

Der Bericht, in dem die schuldige Browsererweiterung aufgezeichnet wird, wird als "DataSpii" bezeichnet. Der ausführliche Bericht wurde vom Sicherheitsforscher Sam Jadali zusammengestellt. Der DataSpii-Bericht erwähnt die Schuldigen, die es geschafft haben, Daten von Millionen von Mozilla Firefox- und Google Chrome-Webbrowser-Benutzern zu sammeln. Darüber hinaus zeigt der Bericht auch, wie diese scheinbar unschuldigen und produktivitätssteigernden Browsererweiterungen es geschafft haben, so lange mit dem Sammeln von Daten durchzukommen. Der Bericht beschreibt auch die von den Entwicklern eingesetzten Techniken.

Jadali ist der Gründer des Internet-Hosting-Dienstes Host Duplex. Er bemerkte, dass etwas nicht stimmte, als er private Forum-Links von Kunden fand, die vom Analyseunternehmen Nacho Analytics veröffentlicht wurden. Darüber hinaus verfügte die Plattform über Informationen zu internen Linkdaten großer Unternehmen wie Apple, Tesla oder Symantec. Unnötig zu erwähnen, dass dies private Links sind. Mit anderen Worten, kein Drittanbieter, keine Website oder Online-Plattform im Allgemeinen sollte diese besitzen. Nach einer umfassenden Analyse war der Sicherheitsforscher davon überzeugt, dass einige der Erweiterungen, die Benutzer unabsichtlich heruntergeladen und in den Webbrowsern installiert hatten, Informationen sammelten oder verloren gingen.

Browsererweiterungen für die Datenerfassung hatten eingebauten Code, um ihren sekundären Zweck zu verschleiern

Die Suche nach Plattformen oder Programmen, die Daten sammeln, ist an sich schon eine schwierige Aufgabe. Noch schwieriger war es jedoch, Beweise für Browsererweiterungen zu sammeln. Dies liegt daran, dass die Erweiterungen einem systematischen Prozess folgten, der ziemlich sequentiell und schrittweise verlief. Mit anderen Worten, die Erweiterungen arbeiteten langsam und leise, um eine Erkennung und Löschung zu vermeiden. Darüber hinaus kommunizierten die Erweiterungen auf ganz andere und komplexe Weise mit ihren Master-Servern.

Nachdem die Browsererweiterung heruntergeladen wurde, wurden die beabsichtigten Aufgaben weiterhin recht gut ausgeführt. Die Erweiterung funktionierte ungefähr drei Wochen lang, um einen Eindruck von Vertrauen zu erzeugen und sicherzustellen, dass der Browserbenutzer diese nicht löscht. Unmittelbar nach der Installation kontaktierten die Erweiterungen jedoch von Entwicklern festgelegte Server und meldeten deren Installationszeit, Installationsversion, aktuelle Version und eindeutige Erweiterungs-ID. Nach ungefähr zwei Wochen erhielten die Erweiterungen ein automatisches Update, sammelten jedoch immer noch keinen Browserverlauf.

Nachdem drei Wochen vergangen waren und die Erweiterungen noch installiert waren, erhielten sie ein zweites automatisches Update, nachdem sie den Kontakt mit den angegebenen Servern wiederhergestellt und ihren Status aktualisiert hatten. Diesmal würden sie jedoch ihr erstes Datenpaket oder ihre erste Nutzlast herunterladen. Diese Nutzdaten enthielten eine minimierte JavaScript-Datei. Mit diesem Skript wurden die Browserdaten des Benutzers gesammelt und an einen vom Entwickler gesteuerten Server gesendet.

Interessanterweise wurde die Nutzlast nie heruntergeladen oder im Erweiterungsordner gespeichert. Stattdessen landeten sie im primären Systemprofilordner des Browsers. Da die Nutzdaten oder JavaScript im Systemprofil des Browsers gespeichert sind, erschweren die Erweiterungen den Ermittlern das Erkennen der Schuldigen erheblich. Im Übrigen aktualisieren oder berühren die Skripte nicht die tatsächliche Erweiterung, die sie heruntergeladen hat. Daher sieht an der Oberfläche alles normal aus.

Wenn sich ein Forscher nicht bemüht, sich auf winzige Änderungen im Systemprofil des Browsers auf dem Gerät des Opfers zu konzentrieren, ist es nicht möglich, den Browser, seinen Installationsordner und den Erweiterungsordner einfach zu analysieren, um verdächtiges Verhalten festzustellen. Jadali: „Wenn Benutzer die Erweiterung selbst untersuchen, wird dieser Befehlssatz für die Datenerfassung nicht angezeigt. Es ist an einem ganz anderen Ort. Wir haben dieses Experiment sechsmal unter zahlreichen Szenarien wiederholt. Jedes Mal haben wir das gleiche Ergebnis erzielt. In der Vergangenheit wurden ähnliche [Verzögerungstaktiken] angewendet, um die Datenerfassung durch andere Browsererweiterungen zu vermeiden.

Zusätzlich zu den oben genannten Techniken zur Vermeidung der Erkennung verwendeten die Browsererweiterungen Base64-Codierungs- und Datenkomprimierungstechniken. Zusammen haben die Softwareteile die hochgeladenen Daten ordentlich verschleiert. Dies erhöhte die Komplexität der gesendeten Daten und machte es daher noch schwieriger festzustellen, ob Daten diskret gesammelt und an Remote-Server gesendet wurden. Im Wesentlichen wurden die Daten routinemäßig transformiert und maskiert. Einige der Entwickler hinter den Erweiterungen haben die Codierung und Komprimierung regelmäßig optimiert, bevor Daten gesammelt und hochgeladen wurden.

Welche beliebten Browser-Erweiterungen waren schuldig, Benutzerdaten gesammelt und möglicherweise verkauft zu haben?

Insgesamt entdeckte der Forscher etwa acht fehlerhafte Browsererweiterungen, die Daten sammelten, an Remote-Server sendeten und möglicherweise ihren Entwicklern dabei halfen, Geld zu verdienen. Es ist nicht sofort klar, ob es mehr gibt. Es ist jedoch interessant festzustellen, dass der Großteil der Browsererweiterungen für die Datenerfassung für Google Chrome entwickelt wurde. Nur drei der acht fehlerhaften Erweiterungen sollten auf Mozilla Firefox installiert werden.

Von den drei Browsererweiterungen für Mozilla Firefox haben zwei der Erweiterungen nur Daten erfasst, wenn sie von Websites von Drittanbietern und nicht von Mozilla AMO installiert wurden. Als Vorsichtsmaßnahme wird Benutzern dringend empfohlen, keine Browsererweiterungen von nicht vertrauenswürdigen Websites herunterzuladen. Es ist am besten, alle derartigen Add-Ons von Plattformen von Drittanbietern zu vermeiden.

Eine schnelle Suche nach den datenraubenden Browsererweiterungen zeigt, dass alle entfernt wurden. Während es in Mozilla AMO nur eine gab, fehlen die fünf Erweiterungen für Google Chrome im Chrome Web Store. Dies ist übrigens nicht die erste Instanz von Browsererweiterungen, die versuchen, Daten zu stehlen. Sowohl Google als auch Mozilla fangen solche Erweiterungen routinemäßig ab und verbannen sie aus ihrem Geschäft. Experten argumentieren jedoch, dass Browserhersteller die Sicherheitsüberprüfungen noch strenger gestalten und einige interne Analysen und Prozesse für Erweiterungen von Websites von Drittanbietern herunterladen könnten.

Facebook Twitter Google Plus Pinterest