Browsererweiterungsentwickler verkaufen die Daten von mindestens 6.5 Millionen Nutzern – und das alles ist völlig legal.

Zusammenfassung:

Neue Forschungsergebnisse von LayerX Security decken mehrere Netzwerke von Browsererweiterungen auf, die Nutzerdaten sammeln und gewinnbringend weiterverkaufen – und das alles völlig legal. Denn im Gegensatz zu schädlichen Erweiterungen, die sich als legitime Erweiterungen tarnen und im Verborgenen agieren, informieren diese Erweiterungen die Nutzer explizit darüber, dass sie ihre Daten sammeln und verkaufen werden. Es steht sogar in der Datenschutzerklärung; nur liest sie niemand.

LayerX analysierte die Datenschutzrichtlinien Tausender Erweiterungen und deckte über 80 verschiedene Erweiterungen auf, die Kundendaten sammeln und verkaufen. Einige dieser Erweiterungen sind:

• Ein Netzwerk aus 24 Medienerweiterungen, die bei 800,000 Nutzern installiert sind und Nutzungsdaten sowie demografische Informationen auf großen Streaming-Plattformen wie Netflix, Hulu, Disney+, Amazon Prime Video, HBO, Apple TV und anderen gesammelt haben.
• 12 verschiedene Werbeblocker mit einer gemeinsamen Installationsbasis von über 5.5 Millionen Nutzern verkaufen offen Nutzerdaten.
• Fast 50 weitere Erweiterungen mit insgesamt über 100,000 Nutzern sammelten und verkauften die Browserdaten der Nutzer weiter.

Auch wenn Browsererweiterungen harmlos erscheinen mögen, verdeutlichen diese Ergebnisse das Datenschutzrisiko, das durch die unregulierte Nutzung von Erweiterungen entstehen kann.

Das Kleingedruckte, das alles legal macht

Datenschutzrichtlinien zu lesen ist so langweilig wie Farbe beim Trocknen zuzusehen. Für die meisten Nutzer ist es sogar noch schlimmer, als das Kleingedruckte in ihren Hypothekenverträgen zu lesen; und das will schon was heißen.

Aber das haben wir getan.

Die Sicherheitsforscher von LayerX, Dar Kahllon und Guy Erez, analysierten die Datenschutzrichtlinien Tausender Browsererweiterungen aus offiziellen Stores. Ihr Hauptaugenmerk lag dabei auf der Frage, ob sich der Herausgeber ausdrücklich das Recht vorbehalten hatte, … Benutzerdaten verkaufen.

Und wir haben sie gefunden. Unsere Analyse ergab mindestens 80 solcher Erweiterungen, von denen einige zusammenarbeiten und alle vom selben Entwickler erstellt wurden. Sie reichen von Werbeblockern und Streaming-Tools über Hilfen für Bewerbungen und Erweiterungen für neue Tabs bis hin zu B2B-Vertriebsanalyseplattformen.

Die meisten dieser Richtlinien sagen nicht „Wir verkaufen Ihre Daten“. Sie sagen lediglich „Wir können Ihre Daten verkaufen“. Das ist eine rechtliche Absicherung – bedeutet aber, dass Ihre Daten jederzeit verkauft werden können, und Sie haben dem bereits zugestimmt. So sieht das in der Praxis aus:

„Wir können Ihre personenbezogenen Daten an Dritte verkaufen oder weitergeben.“

„Diese Informationen können an Geschäftspartner verkauft oder mit ihnen geteilt werden.“

 

Was? Browser-Erweiterungen haben Datenschutzrichtlinien?!

Nun ja, fairerweise muss man sagen, dass die meisten das nicht tun. Laut unserer Studie Sicherheitsbericht zu Enterprise-Browsererweiterungen 202671 % aller Erweiterungen im Chrome Web Store veröffentlichen nicht einmal eine Datenschutzerklärung. 

Daher haben über 73 % der Nutzer mindestens eine Erweiterung ohne Datenschutzerklärung installiert, wodurch intransparent ist, wie ihre Daten verarbeitet werden. Unsere Analyse konnte sich daher nur auf die 29 % stützen, die über eine Datenschutzerklärung verfügen. 

Und wenn wir davon ausgehen, dass einige dieser Erweiterungen ohne jegliche Datenschutzerklärung Ihre Daten ebenfalls weiterverkaufen – und es gibt keinen Grund anzunehmen, dass sie besser sind –, dann liegt die tatsächliche Anzahl der Erweiterungen, die Ihre Daten im Chrome Web Store möglicherweise verkaufen, bei … Zehntausende.

 

Wie wir die Daten analysiert haben

Wir haben eine Pipeline entwickelt, um die Datenschutzrichtlinien von Browsererweiterungen in offiziellen Stores zu analysieren und dabei eine automatisierte Klassifizierung mit einer manuellen Überprüfung zu kombinieren.

Ausgehend von rund 9,000 Erweiterungen mit URLs zu Datenschutzrichtlinien in unserer Datenbank konnten wir 6,666 Richtlinien erfolgreich abrufen und analysieren.

Die Pipeline verlief in drei Phasen:

1. Zunächst identifizierte die KI-Klassifizierung Richtlinien, die den Verkauf, die Lizenzierung oder die kommerzielle Weitergabe von Nutzerdaten offenlegten. Anschließend markierten wir die vielversprechendsten Übereinstimmungen zur Überprüfung und verifizierten jede markierte Richtlinie manuell.
2. Nach dem ersten KI-Scan führten wir eine manuelle Überprüfung durch und eliminierten Fehlalarme. Häufige Fehlalarme betrafen Sicherheitstools für Unternehmen wie Fortinet und CrowdStrike, die Browserdaten auf ihre eigenen Server übertragen (was wir von Webfiltern erwarten), Standard-Werbe-Retargeting-Vorlagen von Unternehmen wie HubSpot und Calendly (wo die Weitergabe eines Cookies an Google Ads technisch gesehen als „Verkauf“ im Sinne der weiten Definition des CCPA gilt) sowie Plattformen zur Monetarisierung einvernehmlicher Daten wie Swash, bei denen Nutzer aktiv zustimmen und dafür bezahlt werden. Genau deshalb kann man nicht einfach einen KI-Scan durchführen und die Ergebnisse veröffentlichen.

Wir haben all diese ausgeschlossen. Übrig blieben nur Erweiterungen, deren Datenschutzrichtlinien einen tatsächlichen kommerziellen Verkauf von Nutzerdaten an Dritte beschreiben.

1. In der Endauswertung fanden wir 82 verschiedene Erweiterungen in 94 Shop-Einträgen.. 75 Erweiterungen sind aktuell im Chrome Web Store verfügbar. Die restlichen 7 wurden entfernt – „entfernt“ bedeutet jedoch nicht „deinstalliert“. Erweiterungen, die aus dem Store entfernt wurden, können in Browsern, die sie bereits installiert haben, weiterhin aktiv bleiben. 

Diese Zahlen mögen niedrig erscheinen, doch bedenken Sie, dass sie sich nur auf Erweiterungen mit Datenschutzrichtlinien beziehen (weniger als ein Drittel aller Erweiterungen) und zudem nur auf solche Erweiterungen, die offenlegen, was mit Ihren Daten geschieht. Die tatsächliche Zahl dürfte mit ziemlicher Sicherheit höher liegen.

Hier einige unserer wichtigsten Ergebnisse:

 

Das QVI-Imperium: Ein anonymer Herausgeber, 24 Nebenstellen, 800,000 Nutzer

Bei der Überprüfung bestätigter Verkäufer trat immer wieder ein Muster zutage. Unterschiedliche Domainendungen, unterschiedliche Streaming-Plattformen, aber immer dasselbe dreibuchstabige Präfix: QVI — Abkürzung für „Quality Viewership Initiative“ (Initiative für qualitativ hochwertige Zuschauerschaft).

Was wie unzusammenhängende Tools aussah, entpuppte sich als ein einziger Vorgang: 24 Browser-Erweiterungen – 21 sind aktuell verfügbar, 3 wurden entfernt – die nahezu alle wichtigen Streaming-Dienste abdecken.

• Netflix
• Hulu
• Disney +
• Amazon Prime Video
• HBO max
• Pfau
• Paramount +
• Tubes
• Apple TV +
• Crunchyroll

Alle veröffentlicht von HideApp LLC, eingetragen unter 1021 East Lincolnway, Cheyenne, Wyoming – eine Adresse, die über einen Registered Agent Service von Hunderten anderer LLCs genutzt wird – und firmiert unter der Marke „dogooodapp"

Die größten Erweiterungen im Netzwerk: 

• Benutzerdefiniertes Profilbild für Netflix (200 Nutzer)
• Hulu-Werbeüberspringer (100)
• Netflix Bild-in-Bild (100)
• Werbeblocker für Prime Video (60K)
• Netflix Extended (60)

Über alle 21 aktiven Nebenstellen hinweg erreicht das Netzwerk fast 800,000 benutzer.

Doch ihre Datenschutzerklärung enthält Informationen, die in den Shop-Einträgen fehlen. Diese Erweiterungen sammeln umfangreiche Daten, darunter:

• Verlauf anzeigen
• Inhaltspräferenzen
• Plattformabonnements
• Heruntergeladene Inhalte
• Streaming-Verhalten 

Sie erfassen auch Alter und Geschlecht – und wenn Sie keine demografischen Daten angeben, gleichen sie Ihre E-Mail-Adresse mit demografischen Datenbanken von Drittanbietern ab, um die Lücken zu füllen.

Die Richtlinie beschreibt den Verkauf von Berichten an Content-Ersteller und Studios, Streaming-Plattformen, Medienforschungsunternehmen und Marketingagenturen – sowie an „Organisationen, die anonymisierte Sehgewohnheiten erwerben“.

Zusammengefasst ergibt das ein verteiltes System zur Reichweitenmessung, das im Browser der Nutzer läuft. Ein anonymer Anbieter sammelt Daten zum Sehverhalten auf allen wichtigen Streaming-Plattformen und gewinnt so Erkenntnisse darüber, was fast 800,000 Menschen wann und wie sie mit Inhalten interagieren. Keiner dieser Nutzer hat sich dafür angemeldet. Rechtlich gesehen haben sie die Nutzungsbedingungen akzeptiert, als sie auf „Zu Chrome hinzufügen“ geklickt haben. Praktisch gesehen hat sie aber niemand gelesen.

 

Werbeblocker, die einige Anzeigen blockieren und Ihre Daten an andere Werbetreibende verkaufen

Wir haben bestätigt acht Werbeblocker diese behalten sich das Recht vor, Nutzerinformationen an Dritte zu verkaufen oder weiterzugeben. Tools, die Nutzer installieren, um das Tracking zu stoppen, verkaufen stattdessen Tracking-Daten. Zusammengenommen erreichen sie über 5.5 Millionen Nutzer.

• Ständer AdBlocker (3M users) verkauft Browserdaten an Dritte zu „Marktanalysezwecken“.
• Poper Blocker (2M Benutzer) gibt Verkaufskennungen, Browseraktivitäten, Verhaltensprofile und abgeleitete sensible Daten preis – einschließlich Gesundheitszustand, religiöser Überzeugungen und sexueller Orientierung, die alle aus den von Ihnen besuchten URLs abgeleitet werden.
• Alle blockierenEin Werbeblocker für YouTube (500 Nutzer) verkauft anonymisierte Daten „zu Analyse- und kommerziellen Zwecken“. Herausgeber ist die Firma Curly Doggo Limited mit Sitz in London.
• TwiBlocker (80 Nutzer) gibt an, Browserdaten an Dritte weiterzugeben, die diese „zu Analysezwecken verarbeiten oder verkaufen“.
• URBAN AdBlocker (10 Nutzer) leitet Browserdaten und KI-Konversationen über den Datenbroker BiScience.

Falls Ihr Werbeblocker eine Datenschutzerklärung hat, die länger als zwei Absätze ist, lesen Sie sie.

Unabhängige Betreiber können Ihre Daten ebenfalls verkaufen.

Dies sind zwar nicht die größten Erweiterungen auf der Liste, aber sie zeigen, wie weit das Datenverkaufsmodell reicht.

• Career.io Job Auto Apply (10 Nutzer) gibt in seinen Datenschutzbestimmungen an, dass es die aus Ihrem Lebenslauf erhobenen personenbezogenen Daten an Dritte, einschließlich Datenhändler, für gezielte Werbung und Profilerstellung verkaufen kann. Ein Bewerbungstool, das Ihren Lebenslauf verkauft.
• Hundesüße (6 Nutzer) ist eine niedliche Hunde-Hintergrundbild-Erweiterung für neue Tabs. Bestätigter Datenverkäufer über das Apex Media-Netzwerk.
• EmailOnDeck (10 Nutzer) ist ein temporärer E-Mail-Dienst – ein Tool, das Menschen speziell dann nutzen, wenn sie nicht Sie möchten ihre echten Daten nicht preisgeben. In ihren Richtlinien heißt es, dass sie ihre Mailingliste verkaufen, vermieten oder weitergeben dürfen.
• Umfrage Junkie Gibt besuchte Verkaufs-URLs, Clickstream-Daten und „modellierte Informationen“ über Verbraucherpräferenzen an Marktforschungsagenturen, Werbeagenturen und Datenanalyseanbieter weiter.
• Dashy Neuer Tab (10 Nutzer) wirbt im Chrome Web Store mit dem Hinweis „Verkauft Ihre Daten nicht“. Die tatsächliche Datenschutzerklärung hingegen gibt an, dass Daten verkauft oder weitergegeben werden: Ja. Wir gehen davon aus, dass es sich hierbei um eine Formulierung zur Einhaltung des CCPA für Standardanalysen handelt und nicht um eine Formulierung für den kommerziellen Datenverkauf – weshalb wir sie nicht berücksichtigt haben. Der Widerspruch zwischen dem Eintrag im Store und der Datenschutzerklärung ist jedoch real. Wenn die Datenschutzerklärung eines Anbieters „Verkauft oder weitergegeben: Ja“ besagt und der Eintrag im Store das Gegenteil behauptet, wem sollen Nutzer dann vertrauen?

 

Wenn die Nebenstellen Ihrer Mitarbeiter Daten verkaufen

Von den 82 bestätigten Anbietern sind 29 B2B-Vertriebsinformationstools. Ihr Geschäft is Da es sich um Daten handelt, ist die Offenlegung an sich keine Überraschung. Wir zählen sie nicht zu den verbraucherorientierten Erweiterungen.

Aber sie gehören in diese Diskussion. Diese Erweiterungen sind auf Firmenrechnern installiert. Das bedeutet, dass das Surfverhalten von Mitarbeitern – beispielsweise interne URLs, SaaS-Dashboards und Rechercheaktivitäten – in kommerzielle Datenbanken gelangt, die Ihre Konkurrenten erwerben können. Das Risiko besteht nicht darin, dass Nutzer getäuscht werden. Es geht darum, dass Unternehmensdaten über einen Kanal abfließen, den niemand überwacht.

 

Was Sicherheitsteams diesbezüglich tun sollten

Die meisten Sicherheitsbewertungen von Browsererweiterungen konzentrieren sich auf Berechtigungen oder bekannte Schadindikatoren – sie kennzeichnen Erweiterungen, die übermäßige Zugriffsrechte anfordern oder Bedrohungsdaten entsprechen. Dadurch wird Schadsoftware erkannt. Erweiterungen, die sich offen das Recht vorbehalten, Ihre Browserdaten zu verkaufen, werden so jedoch nicht erkannt.

Eine Vertragsverlängerung mit einer Offenlegungspflicht für den Datenverkauf stellt kein hypothetisches Risiko dar. Es handelt sich um eine festgelegte Geschäftspraxis, die in einem Dokument festgehalten ist, das Ihre Mitarbeiter ungelesen akzeptiert haben.

Drei Fragen, die es wert sind, gestellt zu werden: 

1. Welche Erweiterungen sind auf den Browsern der Mitarbeiter installiert? 
2. Welche Daten beanspruchen diese Verlage für ihre Erhebung oder ihren Verkauf? 
3. Könnten die Browseraktivitäten von Unternehmen in kommerzielle Datensätze einfließen?

Die meisten Browser unterstützen bereits die zentrale Verwaltung von Erweiterungen über Unternehmensrichtlinien – beispielsweise Chromes ExtensionSettings, Edges Gruppenrichtlinien und Firefox' Unternehmenskonfigurationen. Falls Sie noch keine Richtlinie zur Erweiterungsverwaltung haben, ist dies der erste Schritt. Falls Sie bereits eine haben, sollten Sie die Überprüfung der Datenschutzrichtlinie als Bewertungskriterium hinzufügen. Berechtigungen allein reichen nicht aus.

Zu diesem Zweck hat LayerX einen neuen Filter hinzugefügt, der Erweiterungen erkennt und filtert (und auf Wunsch blockiert), die entweder gar keine Datenschutzerklärung haben oder sich das Recht vorbehalten, personenbezogene Daten zu verkaufen.

Erwägen Sie, Erweiterungen zu blockieren, die entweder den Verkauf von Nutzerdaten offenlegen oder überhaupt keine Datenschutzerklärung veröffentlichen.

Fazit

Browsererweiterungen zählen zu den leistungsstärksten und am wenigsten kontrollierten Werkzeugen im Internet. Während der Fokus häufig auf Schadsoftware liegt, die aktiv Nutzer- und Unternehmensdaten stiehlt, mögen Datenschutzverletzungen banal klingen, können aber ebenfalls riskant sein.

Das Durchlesen der Datenschutzrichtlinien jeder einzelnen Erweiterung, die jeder Benutzer in Ihrer Organisation verwendet, kann zu Hunderten oder Tausenden von einzelnen Erweiterungen führen; das ist eindeutig nicht praktikabel.

Stattdessen müssen Organisationen damit beginnen, automatisierte Tools einzusetzen, die verdächtige Erweiterungen einschränken und Datenschutzeinstellungen berücksichtigen können.