Schrift:
Ansicht Home:
Netzwelt

Chrome und Firefox

Wie Browsererweiterungen ihre Nutzer ausspionieren

Harmlos wirkende Browser-Add-ons haben Steuer-, Geschäfts- und Patientendaten an die Firma Nacho Analytics gesendet. Die verkaufte dann den Zugang dazu. War das wirklich "zu 100 Prozent legal"?

imago images / imagebroker

Links auf interne Dokumente geleakt: Browser Chrome und Firefox

Von und
Freitag, 19.07.2019   13:17 Uhr

Das Angebot der amerikanischen Firma Nacho Analytics klang verlockend. Auf seiner Website versprach das Unternehmen, Millionen Internetnutzer hätten sich freiwillig bereit erklärt, ihren kompletten Browserverlauf mit dem Anbieter zu teilen. Für monatlich mindestens 49 Dollar erhielten Kunden von Nacho Analytics Zugriff auf die erfassten Daten.

Das Angebot sei "zu 100 Prozent legal" und ethisch korrekt, da die erhobenen Daten anonymisiert würden, teilte Nacho auf seiner Webseite mit - und rühmte sich sogar, normalerweise sei ein solcher Datenschatz nur wirklich großen Konzernen zugänglich.

Vor wenigen Tagen hat Nacho Analytics seinen Dienst eingestellt. Zuvor hatte der Sicherheitsforscher Sam Jadali untersucht, woher Nacho die Browserdaten bekommt und wie die Firma damit umgeht. Die Ergebnisse veröffentlichte er auf seiner Website, außerdem haben nun die "Washington Post" und "Ars Technica" darüber berichtet.

Erweiterungen mit insgesamt über vier Millionen Downloads

Wie Jadali feststellte, stammen die erhobenen Daten nicht von einer direkten Weitergabe der Nutzer an Nacho Analytics selbst. Höchstwahrscheinlich wurden sie von mindestens acht Erweiterungen für Googles Chrome-Browser und Mozillas Firefox-Browser erhoben, die eigentlich ganz anderen Zwecken dienen sollten. Die Add-ons heißen …Hover Zoom, SpeakIt!, SuperZoom, SaveFrom.net Helper, FairShare Unlock, PanelMeasurement, Branded Surveys und Panel Community Surveys. Insgesamt sind sie mindestens 4,1 Millionen Mal heruntergeladen worden.

Hover Zoom zum Beispiel vergrößerte Bilder auf Webseiten, SpeakIt! las Texte vor. Erst ein Blick in die Nutzungsbedingungen offenbarte, dass sich die Entwickler der Erweiterung vorbehielten, nebenbei die Adressen sämtlicher besuchter Websites aufzuzeichnen und diese Daten an Dritte zu verkaufen.

Zu diesen Dritten zählte offenbar Nacho Analytics. Denn Jadali konnte mit einem frisch aufgesetzten Browser samt der fraglichen Add-ons nachweisen, dass Links, die nur er selbst kennen konnte, in Nachos Angebot auftauchten - und dort von irgendjemandem auch abgerufen wurden. Seine internen Links waren so in die Hände unbekannter Dritter gelangt.

Mitunter gaben die Erweiterungen hochsensible Daten weiter. Sie schnitten nämlich nicht nur die von den Nutzern aufgerufenen URLs mit, sondern auch die Titel der Websites sowie manchmal auch alle weiterführenden Links auf den Websites selbst.

Überwachungsvideos, Steuerbescheide, Geschäftsdokumente

Besonders problematisch wurde es, wenn die jeweiligen Website-Betreiber ihre Inhalte nicht mit einem Passwort schützten, sondern nur mit sogenannten Token. Das sind zufällig aussehende Zeichenfolgen in der Web-Adresse, die dadurch kaum zu erraten ist. Aber wenn die Adresse für Außenstehende sichtbar wird, kann sie auch aufgerufen werden. Genau das ermöglichte die Kombination aus Browsererweiterungen und Nacho Analytics.

Nacho-Analytics-Kunden konnten deshalb unter anderem auf Videos von Nest-Überwachungskameras zugreifen - aber auch auf Steuerbescheide, Facebookfotos, die eigentlich nicht öffentlich sichtbar waren, Geschäftsdokumente (im schlimmsten Fall von Konkurrenten) und Patientendaten von Ärzten inklusive Informationen zur Medikation.

Zu den Unternehmen, deren Mitarbeiter offenbar eine der acht Erweiterungen genutzt hatten und deren interne Notizen und Memos dadurch an Nacho gingen, gehören Apple und Tesla, die Pharmakonzerne Merck, Pfizer und Roche sowie namhafte IT-Sicherheitsfirmen wie Symantec und FireEye.

Sicherheitsforscher Jadali entdeckte auch persönliche Dokumente in OneDrive, dem Clouddienst von Microsoft. Und die "Washington Post" fand Daten eines Redakteurs. Über Monate hinweg zeichnete eine Browsererweiterung auf, wann und wo dieser sich einloggte, welche internen Seiten er aufrief und an welchen Artikeln er arbeitete.

Einige Add-ons warteten drei Wochen bis zum Datenabgriff

Sowohl Nacho Analytics als auch die Entwickler der verschiedenen Browsererweiterungen behaupteten, dass die von ihnen erhobenen Daten vor dem Verkauf anonymisiert wurden. Tatsächlich konnten die "Washington Post" und "Ars Technica" bestätigen, was Jadali herausgefunden hatte: Die Anonymisierung war häufig unvollständig oder funktionierte überhaupt nicht.

Auch das Argument von Nacho-Analytics-Gründer Mike Roberts, die Nutzer der Erweiterungen würden "fundierte Entscheidungen" über die Auswertung ihrer Browsernutzung geben, ist fragwürdig. Zudem rücken mehrere technische Details, die Jadali entdeckt hat, die Add-ons wie auch Nacho Analytics in ein schlechtes Licht:

Google und Mozilla haben auf die Enthüllung reagiert und die bisher bekannten acht Erweiterungen aus ihren Stores entfernt. Kurz darauf stellte Nacho Analytics seinen Dienst ein. Mike Roberts informierte per Twitter am 8. Juli zunächst über einen Datenausfall.

Einen Tag später meldete der Twitter-Account von Nacho Analytics, die Datenpartner der Firma hätten ihren Betrieb eingestellt. Man entschuldige sich für die Unannehmlichkeiten. Inzwischen zeigt die Website der Firma den Hinweis, dass der Zugang zu sensiblen Daten unterbunden werde. Neue Nutzer könnten sich nicht mehr für den Service anmelden.

Wer eine der acht Erweiterungen nutzt, sollte sie vorsichtshalber deinstallieren. Doch die kleinen Browserprogramme waren schon früher ein Problem und werden es bleiben, bis ihnen Google, Mozilla und die anderen Browseranbieter engere Grenzen setzen. 2016 etwa fand der NDR heraus, dass die Erweiterung "Web of Trust" unzureichend anonymisierte Browsernutzungsdaten an Dritte weitergab. Und laut einer Studie der North Carolina State University von 2018 gibt es Tausende weitere Add-ons, die Nutzerdaten sammeln und zumindest theoretisch auch an Dritte weitergeben könnten.

insgesamt 17 Beiträge
GoaSkin 19.07.2019
1. dazu braucht es keine Addons mehr - und auch keinen speziellen Browser
Beim Besuch vieler Webseiten werden zum Teil Hunderte verwurstete Links zu irgendwelchen Tracking-Anbietern aufgerufen, die alle ihre Cookies setzen. Ruft man dann später andere Webseiten auf, die ebenfalls einen der [...]
Beim Besuch vieler Webseiten werden zum Teil Hunderte verwurstete Links zu irgendwelchen Tracking-Anbietern aufgerufen, die alle ihre Cookies setzen. Ruft man dann später andere Webseiten auf, die ebenfalls einen der Tracking-Anbieter nutzen, wird dabei wieder auf die selben Cookies zugegriffen, über die der Tracking-Anbieter dann den Betreiber der Webseite über die früheren Besuche anderer Webseiten informiert. Und soforn irgendwo ein Benutzerkonto im Spiel war, lässt sich auch schön die Adresse an einen Tracking-Anbieter übermitteln, der dann auf Basis des gesetzten Cookies jeden, der ihn nutzt, über die Postadresse des Webseitenbesuchers informieren kann. Und das lässt sich neben der Adresse auch mit beliebigen anderen Informationen machen. Der allgegenwärtige Benutzerkontenzwang hat schon seinen Grund. Der Gesetzgeber schreibt nur vor, dass die Seitenbetreiber irgendwelches juristische Gefasel über Cookies einblenden müssen; sonst hat er dem nichts entgegenzusetzen.
Thorkh@n 19.07.2019
2. Das ist ja mal wieder ...
... eine so irreführende Clickbait-Überschrift. Weder Google noch Mozilla tragen Schuld an dem Vorgehen. Wenn Add-Ons erst nach Wochen die Spionagesoftware nachladen, hatten beide Firmen ja gar keine Chance, die Schweinereien [...]
... eine so irreführende Clickbait-Überschrift. Weder Google noch Mozilla tragen Schuld an dem Vorgehen. Wenn Add-Ons erst nach Wochen die Spionagesoftware nachladen, hatten beide Firmen ja gar keine Chance, die Schweinereien zum Zeitpunkt der Aufnahme in die Add-On-Seiten zu erkennen. Bitte ändern sie die Überschrift, so dass sich auf den korrekten Sachverhalt schließen lässt.
christine.rudi 19.07.2019
3. So ist es doch IMMER
Lieber Spiegel: Wieso haben Sie früher nichts gemacht und machen immer noch nichts gegen Staatstrojaner? Wenn IRGENDETWAS auf dieser (kapitalistisch-oligarischen) Welt geschieht, geschieht es aus INTERESSE. Wenn man etwas [...]
Lieber Spiegel: Wieso haben Sie früher nichts gemacht und machen immer noch nichts gegen Staatstrojaner? Wenn IRGENDETWAS auf dieser (kapitalistisch-oligarischen) Welt geschieht, geschieht es aus INTERESSE. Wenn man etwas (logisch) nicht versteht auf deser Welt, sollte man sich also erst einmal die Frage stellen: WER hat WELCHES Interesse. Wenn man mal wirklich nachdenkt (was fast keiner mehr tut), dann kommt man zu dem Ergebnis, daß es fast immerentweder pekuniäres Interesse an grossen Gewinnen oder machtpolitisches Interesse an mehr Informationen / Kontrolle über die Bürger ist. Also worüber beschweren Sie sich ? Es gibt ganz natürlich eine "kriminelle" (in Anführungszeichen !) Interessengemeinschaft zwischen Machterhalt der politisch Mächtigen (Oligarchie) = mehr Information über die Bürger, inklusive politische Gegner die dem Machterhalt gefährlich werden können und "Gewinnerhalt" der Unternehmen: eine "win-win"-Situation. Der Kollateralschaden ist da der Datenschutz. Wenn ein Unterneemen eine neues Datenkrake erfindet, unterstützt die Politik dies, weil sie mehr Informationen über die Bürger bekommt. Wenn die Regierung einen neuen Staatstrojaner entwicjkelt, geschieht dies mit Unterstützung der (Daten-)Industrie: "eine Krähe hackt der anderen kein Auge aus". ... Das ist Oligarchie, eine kollusiven Zusammenwirkung zwischen Wirtschaft (Geld) und Macht (Wissen). Und jetzt übertragen sie das Ganze mal von Deutschland auf Europa und die Welt. Das Internet ist weltweit und es gibt NUR (wenn überhaupt) nationale Kontrolle ! Datenschutzbeauftragte werden "kleingehalten". Wenn ich Macht Hâtte / haben wollte würde ich es auch so machen. Die entscheidende Frage ist: warum wehrt sich niemand ? ... ... Die Leute scheinen es vorzuziehen, irgendwie noch einen Vorteil aus der Situation zu ziehen, anstatt ihre Perönlichkeits-Rechte zu verteidigen. 5Und man sage mir nicht, man KÖNNE sich nicht verteidigen: man WILL es nicht !
quark2@mailinator.com 19.07.2019
4.
Und was lernen wir daraus ? Aus meiner Sicht sollten Browser und AddOns komplett Open Source sein. Naja und die Möglichkeit von Updates, ohne das der Nutzer das einzeln abzunicken hat, ist halt auch kritisch. Aber im Kern ist das [...]
Und was lernen wir daraus ? Aus meiner Sicht sollten Browser und AddOns komplett Open Source sein. Naja und die Möglichkeit von Updates, ohne das der Nutzer das einzeln abzunicken hat, ist halt auch kritisch. Aber im Kern ist das einfach zu komplex. Zu 99% wird mMn. die komplexe Webtechnologie nur zu Dingen genutzt, die der Anwender eigentlich nicht braucht, sondern dazu ihn zu überwachen, etc.. Es bräuchte als Alternative ein viel einfacheres und einfacher zu verstehendes Web, so wie man am Anfang die paar Zeilen HTML einer Seite problemlos selbst lesen und verstehen konnte. Schafft mir das Bling-Bling wieder vom Hals, ich brauche keine balistischen Einblendungen, usw.
shardan 19.07.2019
5. Was dem Smartphone...
Was dem Smartphone seine spionierende App ist dem Browser sein AddOn. Nichts neues. Der Artikel ist kritikwürdig. Erstmal: wenn schon, dann bitte die Namen der Apps veröffentlichen. Ohne alle Namen zu nennen ist das einfach nur [...]
Was dem Smartphone seine spionierende App ist dem Browser sein AddOn. Nichts neues. Der Artikel ist kritikwürdig. Erstmal: wenn schon, dann bitte die Namen der Apps veröffentlichen. Ohne alle Namen zu nennen ist das einfach nur Schaumschlägerei. Zum zweiten - glaubt die Redaktion wirklich, davon seien nur Chrome und Firefox betroffen? Die meisten Apps gibt es für andere Browser genau so.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP