Channel Header
2370753

Web-Security: Firefox-Add-On-Macher entschuldigen sich

20.08.2018 | 09:23 Uhr | Panagiotis Kolokythas

Das Sicherheits-Addon "Web Security" war dabei erwischt worden, wie es Firefox-Nutzer ausspäht. Jetzt entschuldigen sich die Macher.

Das sehr beliebte Sicherheits-Add-On "Web Security" für Firefox hatte sich in der vergangenen Woche als äußerst neugierig entpuppt: Es spähte seine Nutzer aus. Peinlich wurde die Angelegenheit auch für Mozilla, weil die Firefox-Entwickler erst kurz vorher noch das Add-On seinen Nutzern empfohlen hatten. Ende der Woche griff das Mozilla durch und verbannte insgesamt 23 Firefox-Add-Ons, weil sie Nutzer ausspionierten.

Web Security ist aktuell ebenfalls nicht mehr verfügbar. "Dieses Add-On wurde durch einen Administrator deaktiviert", heißt es beim Aufruf der Add-On-Seite. Am Wochenende erreichte PC-WELT auch eine Stellungnahme der Entwickler von Web Security, in der sie sich entschuldigen. In der Mail wird erläutert, welche Daten - unverschlüsselt - vom Add-On an einen deutschen Server übertragen wurden und welchem Zweck dies diente. Außerdem wird versprochen, dass in der kommenden Version einige Daten nicht mehr übertragen werden sollen. Die vollständige Stellungnahme im Wortlaut:

Liebe Community, Liebes PC-Welt Team,

wir würden gerne Stellung zu den Ereignissen der letzten Tage beziehen. Ohne Frage: uns sind Fehler in unseren kostenlosen Addons unterlaufen, für die wir uns hier in aller Form offiziell entschuldigen und welche wir aufklären möchten.

Thema Verschlüsselung (SSL): In der Tat ist es so, dass die Kommunikation unserer Addons zu unseren Servern nicht vollständig verschlüsselt war. Dies wurde serverseitig bereits behoben und ein Update für die Addons steht bereit, welches umgehend ausgerollt werden kann, sobald Mozilla die Addons wieder freischaltet.

Im Zuge der Transparenz möchten wir nachfolgend erläutern, was mit den übermittelten Daten passiert und wofür wir diese Daten benötigen.

Wir übertragen folgende Daten:

  • ID

  • Alte URL / Alter Host

  • Neue URL / Neuer Host

  • Hash

  • App

  • Agent

  • Language

Wir verwenden die ID um eine Security-Chain aufbauen zu können, die aus bis zu fünf aufeinanderfolgenden Requests bestehen kann. Sollte der Benutzer eine bösartige Webseite besuchen, dann kann durch die übertragene „alte URL“ und die „neue URL“ nachvollzogen werden, von welcher Webseite der Benutzer diese bösartige Webseite erreicht hat. Mit diesem System erhalten bösartige Seiten eine „red“ Einstufung. Seiten, die auf „red“ Seiten verweisen, erhalten eine „yellow“ Einstufung.

Alle diese Daten werden genutzt um unsere Heuristiken und Bedrohungsanalysen zu verbessern. Die übertragenen Daten werden maximal 15 Minuten auf unseren deutschen Servern temporär gespeichert und können von uns nicht auf eine Person zurückgeführt werden.Wir haben „App“, „Agent“, „Language“ und „Hash“ bisher aus statistischen Gründen übertragen. Im Zuge der Updates werden diese Daten allerdings entfernt.

Um Unklarheiten zu vermeiden werden wir mit dem nächsten Update Verwendungszwecke und Beschreibungen der übertragenen Daten ausführlicher und transparenter erklären.

Remote Code Execution: Im Zuge der stetigen Weiterentwicklung bleiben in jedem Softwareprojekt leider immer Reste von altem Programmcode zurück. Wie schon berichtet wurde, ist in 7 von 10 Addons dieser Programmcode schon nicht mehr funktionsfähig. In der Vergangenheit wurde diese Funktion benutzt um den Benutzer kurzfristig auf kritische Bedrohungen hinzuweisen, ohne die langwierige Updatefunktion der Addons verwenden zu müssen. Durch die neue Update-Policy von Mozilla ist diese Funktion obsolet geworden und wird nicht mehr verwendet. Mit dem zukünftigen Update werden die Restlichen noch vorhandenen Fragmente endgültig entfernt. Außerdem werden wir unser Qualitätsmanagement verbessern, um in Zukunft derartige Codefragmente oder Fehler wie die bereits gemachten zu vermeiden.

Wir bedauern den Vorfall und würden uns wünschen eine Gelegenheit zu erhalten das von den Usern in uns gesetzte Vertrauen wiederzubekommen.

Mit freundlichen Grüßen

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2370753