Neue Forschungsergebnisse von LayerX Security decken mehrere Netzwerke von Browsererweiterungen auf, die Nutzerdaten sammeln und gewinnbringend weiterverkaufen – und das alles völlig legal. Denn im Gegensatz zu schädlichen Erweiterungen, die sich als legitime Erweiterungen tarnen und im Verborgenen agieren, informieren diese Erweiterungen die Nutzer explizit darüber, dass sie ihre Daten sammeln und verkaufen werden. Es steht sogar in der Datenschutzerklärung; nur liest sie niemand.
LayerX analysierte die Datenschutzrichtlinien Tausender Erweiterungen und deckte über 80 verschiedene Erweiterungen auf, die Kundendaten sammeln und verkaufen. Einige dieser Erweiterungen sind:
Auch wenn Browsererweiterungen harmlos erscheinen mögen, verdeutlichen diese Ergebnisse das Datenschutzrisiko, das durch die unregulierte Nutzung von Erweiterungen entstehen kann.
Datenschutzrichtlinien zu lesen ist so langweilig wie Farbe beim Trocknen zuzusehen. Für die meisten Nutzer ist es sogar noch schlimmer, als das Kleingedruckte in ihren Hypothekenverträgen zu lesen; und das will schon was heißen.
Aber das haben wir getan.
Die Sicherheitsforscher von LayerX, Dar Kahllon und Guy Erez, analysierten die Datenschutzrichtlinien Tausender Browsererweiterungen aus offiziellen Stores. Ihr Hauptaugenmerk lag dabei auf der Frage, ob sich der Herausgeber ausdrücklich das Recht vorbehalten hatte, … Benutzerdaten verkaufen.
Und wir haben sie gefunden. Unsere Analyse ergab mindestens 80 solcher Erweiterungen, von denen einige zusammenarbeiten und alle vom selben Entwickler erstellt wurden. Sie reichen von Werbeblockern und Streaming-Tools über Hilfen für Bewerbungen und Erweiterungen für neue Tabs bis hin zu B2B-Vertriebsanalyseplattformen.
Die meisten dieser Richtlinien sagen nicht „Wir verkaufen Ihre Daten“. Sie sagen lediglich „Wir können Ihre Daten verkaufen“. Das ist eine rechtliche Absicherung – bedeutet aber, dass Ihre Daten jederzeit verkauft werden können, und Sie haben dem bereits zugestimmt. So sieht das in der Praxis aus:
„Wir können Ihre personenbezogenen Daten an Dritte verkaufen oder weitergeben.“
„Diese Informationen können an Geschäftspartner verkauft oder mit ihnen geteilt werden.“
Nun ja, um ehrlich zu sein, die meisten tun es nicht.
Abbildung 1. Transparenz der Datenschutzrichtlinie
Laut LayerX Sicherheitsbericht zu Enterprise-Browsererweiterungen 202671 % aller Erweiterungen im Chrome Web Store veröffentlichen nicht einmal eine Datenschutzerklärung.
Daher haben über 73 % der Nutzer mindestens eine Erweiterung ohne Datenschutzerklärung installiert, wodurch intransparent ist, wie ihre Daten verarbeitet werden. Unsere Analyse konnte sich daher nur auf die 29 % stützen, die über eine Datenschutzerklärung verfügen.
Und wenn wir davon ausgehen, dass einige dieser Erweiterungen ohne jegliche Datenschutzerklärung Ihre Daten ebenfalls weiterverkaufen – und es gibt keinen Grund anzunehmen, dass sie besser sind –, dann liegt die tatsächliche Anzahl der Erweiterungen, die Ihre Daten im Chrome Web Store möglicherweise verkaufen, bei … Zehntausende.
Wir haben eine Pipeline entwickelt, um die Datenschutzrichtlinien von Browsererweiterungen in offiziellen Stores zu analysieren und dabei eine automatisierte Klassifizierung mit einer manuellen Überprüfung zu kombinieren.
Ausgehend von rund 9,000 Erweiterungen mit URLs zu Datenschutzrichtlinien in unserer Datenbank konnten wir 6,666 Richtlinien erfolgreich abrufen und analysieren.
Die Pipeline verlief in drei Phasen:
Der endgültige Datensatz enthält nur Erweiterungen, deren Datenschutzrichtlinien einen tatsächlichen kommerziellen Verkauf von Nutzerdaten an Dritte erkennen lassen.
Diese Zahlen mögen niedrig erscheinen, doch bedenken Sie, dass sie sich nur auf Erweiterungen mit Datenschutzrichtlinien beziehen (weniger als ein Drittel aller Erweiterungen) und zudem nur auf solche Erweiterungen, die offenlegen, was mit Ihren Daten geschieht. Die tatsächliche Zahl dürfte mit ziemlicher Sicherheit höher liegen.
Hier einige unserer wichtigsten Ergebnisse:
Bei der Überprüfung bestätigter Verkäufer trat immer wieder ein Muster zutage. Unterschiedliche Domainendungen, unterschiedliche Streaming-Plattformen, aber immer dasselbe dreibuchstabige Präfix: QVI – Abkürzung für „Quality Viewership Initiative“ (Initiative für qualitativ hochwertige Zuschauerschaft).
Was wie unzusammenhängende Tools aussah, entpuppte sich als ein einziger Vorgang: 24 Browser-Erweiterungen – 21 sind aktuell aktiv, 3 wurden entfernt – die nahezu alle wichtigen Streaming-Dienste abdecken.
Alle veröffentlicht von HideApp LLC, eingetragen unter 1021 East Lincolnway, Cheyenne, Wyoming – eine Adresse, die über einen Registered Agent Service von Hunderten anderer LLCs genutzt wird – und firmiert unter der Marke „dogooodapp"
Die größten Erweiterungen im Netzwerk:
Über alle 21 aktiven Nebenstellen hinweg erreicht das Netzwerk fast 800,000 benutzer.
Abbildung 2. Erweiterungsseite im Chrome Web Store für die Erweiterung „Benutzerdefiniertes Profilbild für Netflix [QVI]“.
Doch ihre Datenschutzerklärung enthält Informationen, die in den Shop-Einträgen fehlen. Diese Erweiterungen sammeln umfangreiche Daten, darunter:
Sie erfassen auch Alter und Geschlecht – und wenn Sie keine demografischen Daten angeben, gleichen sie Ihre E-Mail-Adresse mit demografischen Datenbanken von Drittanbietern ab, um die Lücken zu füllen.
Abbildung 3. Daten, die laut Datenschutzrichtlinie der Erweiterung „Benutzerdefiniertes Profilbild für Netflix [QVI]“ erfasst werden.
Die Richtlinie beschreibt den Verkauf von Berichten an Content-Ersteller und Studios, Streaming-Plattformen, Medienforschungsunternehmen und Marketingagenturen – sowie an „Organisationen, die anonymisierte Sehgewohnheiten erwerben“.
Zusammengefasst ergibt das ein verteiltes System zur Reichweitenmessung, das im Browser der Nutzer läuft. Ein anonymer Anbieter sammelt Daten zum Sehverhalten auf allen wichtigen Streaming-Plattformen und gewinnt so Erkenntnisse darüber, was fast 800,000 Menschen wann und wie sie mit Inhalten interagieren. Keiner dieser Nutzer hat sich dafür angemeldet. Rechtlich gesehen haben sie die Nutzungsbedingungen akzeptiert, als sie auf „Zu Chrome hinzufügen“ geklickt haben. Praktisch gesehen hat sie aber niemand gelesen.
Wir haben bestätigt acht Werbeblocker diese behalten sich das Recht vor, Nutzerinformationen an Dritte zu verkaufen oder weiterzugeben. Tools, die Nutzer installieren, um das Tracking zu stoppen, verkaufen stattdessen Tracking-Daten. Zusammengenommen erreichen sie über 5.5 Millionen Nutzer.
Falls Ihr Werbeblocker eine Datenschutzerklärung hat, die länger als zwei Absätze ist, lesen Sie sie.
Abbildung 4. Empfohlener Werbeblocker im Chrome Web Store
Dies sind zwar nicht die größten Erweiterungen auf der Liste, aber sie zeigen, wie weit das Datenverkaufsmodell reicht.
Von den 82 bestätigten Anbietern sind 29 B2B-Vertriebsinformationstools. Ihr Geschäft is Da es sich um Daten handelt, ist die Offenlegung an sich keine Überraschung. Wir zählen sie nicht zu den verbraucherorientierten Erweiterungen.
Aber sie gehören in diese Diskussion. Diese Erweiterungen sind auf Firmenrechnern installiert. Das bedeutet, dass das Surfverhalten von Mitarbeitern – beispielsweise interne URLs, SaaS-Dashboards und Rechercheaktivitäten – in kommerzielle Datenbanken gelangt, die Ihre Konkurrenten erwerben können. Das Risiko besteht nicht darin, dass Nutzer getäuscht werden. Es geht darum, dass Unternehmensdaten über einen Kanal abfließen, den niemand überwacht.
Die meisten Sicherheitsbewertungen von Browsererweiterungen konzentrieren sich auf Berechtigungen oder bekannte Schadindikatoren – sie kennzeichnen Erweiterungen, die übermäßige Zugriffsrechte anfordern oder Bedrohungsdaten entsprechen. Dadurch wird Schadsoftware erkannt. Erweiterungen, die sich offen das Recht vorbehalten, Ihre Browserdaten zu verkaufen, werden so jedoch nicht erkannt.
Eine Vertragsverlängerung mit einer Offenlegungspflicht für den Datenverkauf stellt kein hypothetisches Risiko dar. Es handelt sich um eine festgelegte Geschäftspraxis, die in einem Dokument festgehalten ist, das Ihre Mitarbeiter ungelesen akzeptiert haben.
Drei Fragen, die es wert sind, gestellt zu werden:
Die meisten Browser unterstützen bereits die zentrale Verwaltung von Erweiterungen über Unternehmensrichtlinien – beispielsweise Chromes ExtensionSettings, Edges Gruppenrichtlinien und Firefox' Unternehmenskonfigurationen. Falls Sie noch keine Richtlinie zur Erweiterungsverwaltung haben, ist dies der erste Schritt. Falls Sie bereits eine haben, sollten Sie die Überprüfung der Datenschutzrichtlinie als Bewertungskriterium hinzufügen. Berechtigungen allein reichen nicht aus.
Zu diesem Zweck hat LayerX einen neuen Filter hinzugefügt, der Erweiterungen erkennt und filtert (und auf Wunsch blockiert), die entweder gar keine Datenschutzerklärung haben oder sich das Recht vorbehalten, personenbezogene Daten zu verkaufen.
Erwägen Sie, Erweiterungen zu blockieren, die entweder den Verkauf von Nutzerdaten offenlegen oder überhaupt keine Datenschutzerklärung veröffentlichen.
Abbildung 5. LayerX-Erweiterungs-Datenschutzfilter
Browsererweiterungen zählen zu den leistungsstärksten und am wenigsten kontrollierten Werkzeugen im Internet. Während der Fokus häufig auf Schadsoftware liegt, die aktiv Nutzer- und Unternehmensdaten stiehlt, mögen Datenschutzverletzungen banal klingen, können aber ebenfalls riskant sein.
Das Durchlesen der Datenschutzrichtlinien jeder einzelnen Erweiterung, die jeder Benutzer in Ihrer Organisation verwendet, kann zu Hunderten oder Tausenden von einzelnen Erweiterungen führen; das ist eindeutig nicht praktikabel.
Stattdessen müssen Organisationen damit beginnen, automatisierte Tools einzusetzen, die verdächtige Erweiterungen einschränken und Datenschutzeinstellungen berücksichtigen können.
Dies ist keine Geschichte über Schadsoftware. Niemand hat Sie gehackt. Niemand hat etwas gestohlen. Die Erweiterungen, die Sie gerade verwenden, verkaufen möglicherweise Ihre Browserdaten – und sie haben Sie darüber informiert. Es steht in der Datenschutzerklärung. Seite 4, Absatz 7. Der, den niemand liest.
