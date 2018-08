Ein sehr beliebtes Sicherheits-Add-On für Firefox entpuppt als äußerst neugierig. Und für Mozilla wird es peinlich...

Vergrößern Das Firefox-Addon Web Security ist äußerst beliebt - und auch äußerst neugierig

Ein mit über 220.000 Downloads ziemlich beliebtes Firefox-Add-On spioniert offenbar die Nutzer aus. Und für Mozilla wird die Angelegenheit etwas peinlich. In der vergangenen Woche hatte Mozilla in einem Blog-Eintrag insgesamt 14 Sicherheits-Add-Ons für Firefox vorgestellt und empfohlen. Darunter auch die Erweiterung "Web Security", die laut Beschreibung die Nutzer vor Malware und schädlichen Websites schützt.

Wenige Tage später werden in dem gleichen Blog-Eintrag nur noch 13 Add-Ons empfohlen, obwohl in der Einleitung weiterhin von 14 ("We’ve put together a collection of 14 of our favorite privacy extensions") die Rede ist. Der Eintrag zu "Web Security" ist verschwunden. Der Blog-Eintrag wurde also still und heimlich geändert, wobei nicht alle Spuren korrekt verwischt wurden. Was ist passiert?

Nach dem ursprünglichen Blog-Eintrag meldete der Entwickler eines anderen Add-Ons auf Reddit eine merkwürdige Entdeckung im Zusammenhang mit "Web Security". Das Add-On versende nach dem Aufruf jeder Website eine Reihe an Daten an einen Server. Nachdem dies der Kuketz-Security-Blog gemeldet hatte, entschlüsselte ein Leser des Blogs im Forum die vom Add-On versendeten Daten.

Das Ergebnis der Analyse: Das Add-On versendet bei jedem URL-Aufruf nicht nur die URL der aktuell besuchten Website, sondern auch alle zuvor besuchten Websites. Über die Daten, die an einen deutscher Server in unverschlüsselter Form gesendet werden, lässt sich also verfolgen, welche Websites ein Nutzer besucht hat.

Laut einem Bericht von Bleepingcomputer.com ist es laut den Regeln von Mozilla den Add-Ons nicht gestattet, derartige Surf-Informationen über Nutzer zu sammeln. In der Vergangenheit sei aus diesem Grund bereits gegen andere Add-Ons vorgegangen worden. Etwa im Falle von Stylish und Web of Trust. Bei Web of Trust hatten im November 2016 Recherchen des NDR ergeben, dass das Add-On die Daten der Nutzer ausspähte und an Dritte weitergab.



In einer Stellungnahme der Anbieter von "Web Security", Creative Software Solutions, heißt es, dass das Add-On nicht den Zweck habe, die Nutzer zu überwachen und deren Browser-Historie zu stehlen. Beim Aufruf einer URL werde diese mit einer Blacklist abgeglichen, weshalb eine Kommunikation zwischen dem Client und Server notwendig sei. Man halte die Kommunikation aber auf ein Minimum und zeichne die Daten nicht auf. "Unsere Server sind alle in Deutschland und wir sind so gebunden an den DSVGO und verarbeiten nur Daten für spezifische Gründe", heißt es in der Mitteilung. Es wird auch darauf hingewiesen, dass das Add-On vom Mozilla-Team überprüft und freigegeben wurde. Dennoch nehme man den Hinweis ernst und habe die Entwickler des Add-Ons gebeten, den Fall zu untersuchen, um das Add-On – falls nötig – zu verbessern. Die britische IT-Site "The Register" meldet , Creative Software Solution plane bei Mozilla eine aktualisierte Fassung der Erweiterung einzureichen.

Eine Verbesserung dürfte in der Tat notwendig sein, denn der Versand der Daten könnte auch verschlüsselt und vor allem nicht in dem großen Umfang erfolgen. Bis zu einer Änderung bzw. dem Update kann eigentlich von der Nutzung des Add-Ons Web Security nur abgeraten werden.



Die Entdeckung der ungewöhnlichen und unverschlüsselten Daten-Übertragung dürfte also auch die Erklärung dafür sein, warum Mozilla die Empfehlung für "Web Security" aus seinem ursprünglichen Blog-Eintrag entfernt hat. Sinnvoller wäre es allerdings gewesen, im Blog-Eintrag auf die Entfernung des Add-Ons und die Gründe dafür hinzuweisen. Wer den Blog-Eintrag in der ersten Fassung gelesen hat, dürfte von der Änderung nichts mitbekommen haben.