Eine IT-Forschergemeinschaft mit dem Namen „Q Continuum“ hat automatisiert zigtausende der beliebtesten Chrome-Erweiterungen untersucht. Knapp 300 davon, teils mit je vielen Millionen Installationen, liefern den Browserverlauf von Nutzerinnen und Nutzern an ihre Hersteller aus. Den Usern ist meistens wohl nicht klar, dass sie ausspioniert werden.
Die Analyse und ihre Ergebnisse stellt „Q Continuum“ in einem Github-Projekt bereit. Beim Versuchsaufbau haben sie Chrome in einen Docker-Container verfrachtet und den Traffic durch einen Man-in-the-Middle-Proxy geschleust. Dabei beobachteten sie die ausgehenden Anfragen unter dem Aspekt, wie sie mit der Länge der URLs korrelieren, die dem Chrome-Browser vorgesetzt wurden. Dabei haben die IT-Forscher synthetische Browser-Daten eingesetzt, konkret konsistent geformte Anfragen an google.com, die jedoch nie den Docker-Container verlassen. Dann untersucht ein Skript die ausgehenden Daten darauf hin, wie umfangreich der abgehende Traffic ist.
Die Idee dahinter: Wenn eine Erweiterung lediglich den Seitentitel liest oder eigenes CSS in die Seite einbaut, sollte der Netzwerk-Fußabdruck niedrig bleiben, egal, wie lang die besuchte URL ist. Wenn der abgehende Traffic jedoch linear mit der URL-Länge ansteigt, liefert die Erweiterung mit hoher Wahrscheinlichkeit die URL oder die gesamte HTTP-Anfrage an einen Server ins Internet aus. Damit konnten sie Erweiterungen eingrenzen, die sehr wahrscheinlich sensible Daten ausspähen.
Hunderte teils populäre Erweiterungen spionieren
Insgesamt haben die Analysten die 32.000 populärsten Chrome-Erweiterungen von den 240.000 im Chrome-Webstore verfügbaren untersucht. Dabei haben sie 287 teils sehr populäre Kandidaten aufgespürt, die Daten exfiltrieren. Insgesamt 37,4 Millionen User haben diese Plug-ins in ihren Webbrowser installiert und werden davon ausgeforscht.
Diese Daten können zur Profilbildung und gezielter Werbung genutzt werden, aber auch zu Wirtschaftsspionage oder dem Abziehen von Zugangsdaten, erklärt das „Q Continuum“ die potenziellen Gefahren. Andererseits ist nicht jede Erweiterung automatisch auch mit bösartiger Absicht unterwegs. Auf Platz 1 findet sich etwa „Avast Online Security & Privacy“ mit sechs Millionen Installationen, ein Plug-in zur Reputationsprüfung von Webseiten. Offenbar nutzt es keine lokale Datenbank, sondern sendet die URLs zur Prüfung an die Herstellerserver. Allerdings hat gerade Avast da eine wenig rühmliche Vergangenheit: Wegen Datenweitergabe musste das Unternehmen 2024 16,5 Millionen US-Dollar Strafe in den USA zahlen, da die gesammelten Daten von mehr als 100 Millionen Nutzern über die Tochterfirma Jumpshot verkauft wurden. An zweiter Stelle folgen mit je 3 Millionen Nutzern die Erweiterungen „Ad Blocker: Stands AdBlocker“ sowie „Monica: ChatGPT AI Assistant | DeepSeek, GPT-4o, Claude 3.5, o1 &More“.
Die Webseite hält eine Liste der beim Ausspähen beobachteten Chrome-Erweiterungen vor. Detaillierte Einblicke gibt das rund 260-seitige PDF, wovon die letzten etwa 150 Seiten jedoch lediglich Details zu den betroffenen Erweiterungen wie IDs, Namen, Nutzerzahlen und Ähnliches umfassen. Wer nicht möchte, dass die eigenen Browser-Erweiterungen den eigenen Browser-Verlauf an die Anbieter senden, sollte die Erweiterungsliste prüfen und gegebenenfalls die Add-ons deinstallieren.
Browser-Erweiterungen sind oft nützliche Helferlein, sie können jedoch auch Datenschleudern sein, die die Privatsphäre verletzen. Einige Akteure nutzen das zur eigenen Bereicherung aus, indem sie die gewonnenen Daten monetarisieren. Das Phänomen selbst ist bereits älter. Etwa 2019 hat der IT-Sicherheitsforscher Sam Jadali 200 Chrome- und Firefox-Erweiterungen angeschaut und diese ebenfalls beim Datensammeln erwischt. Auf diese übertragenen Daten hatten zudem Dritte Zugriff. Bei dieser Späh-Masche mit dem Namen „DataSpii“ waren Surf-Daten von 4,1 Millionen Menschen betroffen.
(dmk)
English (US) ·