Wie zunächst von Mike Kuketz in seinem Blog berichtet, soll das Firefox-Add-On Web Security den Browserverlauf der über 220.000 Nutzer erfasst und unverschlüsselt an einen deutschen Server übermittelt haben. Das brisante dabei: Firefox selbst bewarb das Add-On als eine „Datenschutz Superpower Erweiterung“. Nun wurde es neben 23 anderen Add-Ons aus dem Portal verbannt.
Der Inhalt im Überblick
Worum geht es?
Eigentlich sollte das von Firefox selbst beworbene Add-On „Web Security“ aktiv vor Malware, Phishing und manipulierten Websites schützen, die darauf abzielen, die persönlichen Daten des Nutzers auszuspähen. Die hohe Anzahl von Installationen und positiven Bewertungen haben der Browser-Erweiterung wohl dazu verholfen, auf die Liste der empfohlenen Sicherheits- und Datenschutz-Add-Ons gesetzt zu werden. Dabei ist der Aufmerksamkeit des Mozilla-Teams scheinbar entgangen, dass heimlich eine darüberhinausgehende Datenübermittlung stattfand. Nachdem dies zudem unverschlüsselt passierte, wäre es ein Leichtes gewesen, die Daten abzufangen und auszuwerten.
Oftmals ist bei Sicherheits-Add-Ons die Übermittlung der URL an einen externen Server nicht unbedingt auffällig. Denn dieses Vorgehen dient regelmäßig der Suche nach Bedrohungen und somit dem Schutz des Nutzers. Allerdings schien Web Security mehr als nur die aktuelle URL zu übermitteln. Aus den ausgewerteten Log-Files ging hervor, dass das Plug-in die einzelnen Benutzer anhand einer ID identifizieren konnte, sowie den Verlauf der besuchten Webseiten verfolgt und protokolliert hat, ohne dies dem Nutzer zu offenbaren. Auf diese Weise ist es möglich, Profile über das Surf-Verhalten zu erstellen und für eigene Zwecke zu nutzen. Hinzu kommt, dass über das Tracking nicht informiert wurde.
Mozilla zieht Konsequenzen
Nachdem dieses Vorgehen gegen die Richtlinien von Mozilla verstößt, wurden die Hinweise zunächst geprüft und das Add-On vorsorglich von der Liste der empfohlenen Plug-ins gestrichen.
Gestern gab Mozilla aber bekannt, dass Web Security neben 22 weiteren Add-Ons nicht mehr im Portal zur Verfügung steht. Die gelöschten Erweiterungen sollen von insgesamt mehr als 500.000 Nutzern verwendet worden sein. Begründet wurde die Maßnahme u.a. damit, dass die Hersteller durch Code-Verschleierung versuchten, eine legitime Software vorzutäuschen. Dabei wurde der Schadcode mit scheinbar harmlosen Code gemischt und über mehrere Zeilen sowie Dateien verteilt. Aufgrund der Anzahl der unterschiedlichen Add-Ons, verschleierter URLs und verdeckter Datenströme kam Mozilla zu dem Schluss, dass hier in großem Stil versucht wurde, bösartigen Code in Erweiterungen zu verstecken.
Zusammenfassend heißt es zu Web Security:
- Das Add-On sendet mehr Daten als für den Betrieb notwendig erscheint.
- Einige der Daten werden unsicher übermittelt.
- Das Add-On weist nicht ausdrücklich auf dieses Verhalten hin. Der Umstand findet lediglich in der sehr umfassenden Datenschutzerklärung eine kurze Erwähnung.
- Das Add-On ist dazu geeignet sog. Remote-Code auszuführen. Dies wird allerdings innerhalb des Codes teilweise verschleiert.
- Es existieren mehrere Add-Ons mit sehr unterschiedlichen Funktionen und von verschiedenen Autoren, die den gleichen Code verwenden. Weitere Untersuchungen haben zum Vorschein gebracht, dass es sich dabei um ein und dieselbe Person/Gruppe handeln könnte.
Neben Web Security wurden auch die Erweiterungen Browser Security, Browser Privacy und Browser Safety entfernt, da sie allesamt Daten an denselben Server senden.
Sicher im Netz
Nun stellt sich natürlich die Frage, wie man noch möglichst sicher und unbehelligt im Netz surfen kann, wenn man selbst Datenschutz-Erweiterungen für die gängigen Browser nicht mehr blind trauen kann und diese versuchen einen auszuspähen. Zwar gibt es unter den Add-On Anbietern sicher auch einige seriöse und zuverlässige. An dieser Stelle muss aber auch gesagt sein, dass es mit der einfachen Installation eines dieser Add-Ons nicht getan ist.
Kürzlich berichtete netzpolitk über eine aktuelle Studie, welche darlegte, dass bei den Blocking-Strategie der weitverbreitetsten Datenschutz-Add-Ons die Nutzer zumindest von den einflussreichsten, werbetreibenden Unternehmen in vielen Fällen immer noch beobachtet wurden. Deshalb sollte man sich die Zeit nehmen und nicht nur ein paar Add-Ons aus dem Internet laden, sondern sich informieren und seinen Browser umfänglich anpassen. Eine empfehlenswerte Anleitung dafür ist z.B. das Firefox-Kompendium.
Aber auch abseits vom Browser kann man etwas tun. So gibt der Surveillance Self-Defense Guide der EEF Tipps für eine sichere Online-Kommunikation. Das eigene Heimnetzwerk kann etwa durch einen Pi-Hole oder eBlocker gesichert werden, damit Werbung und Tracker auch auf dem Smartphone oder anderen smarten Geräten gefiltert werden.
Das Geschäft mit personenbezogenen Daten beherrscht nach wie vor das Internet. Sich in diesem einigermaßen datensparsam und sicher zu bewegen, ist daher heute leider immer noch nicht der Standard. Vielmehr erfordert dies neben konkretem Wissen, aktives Handeln und einen zeitlichen Aufwand der Nutzer. Das Geschäftsmodell der personalisierten Online-Werbung setzt somit immer auch ein Stückchen auf deren Bequemlichkeit. Gerade hier liegt es an jedem Einzelnen sich mit der Thematik zu beschäftigen und eigene Konsequenzen zu ziehen. Aus unserer Sicht überwiegen die Vorteile des sicheren und unbehelligten Surfens im Netz aus vielen Gründen dem Intialaufwand.
Sehr guter Artikel, der mich dazu veranlasst hat, Tor sofort auf meinem Mac zu installieren. Funktioniert auf Anhieb und ohne irgendwelche Probleme. Danke!!!