Ny forskning från LayerX Security avslöjar flera nätverk av webbläsartillägg som samlar in användardata och säljer den vidare för vinst – och allt är helt lagligt. Till skillnad från skadliga tillägg som utger sig för att vara legitima tillägg och gör vad de vill i mörkret, berättar dessa tillägg uttryckligen för användarna att de kommer att samla in och sälja sina data. Det står precis där i sekretesspolicyn, förutom att ingen läser den.
LayerX analyserade integritetspolicyerna för tusentals tillägg och avslöjade över 80 olika tillägg som samlar in och säljer kunddata. Några av dessa tillägg inkluderar:
Även om webbläsartillägg kan verka oskyldiga, belyser dessa resultat den integritetsrisk som kan uppstå vid oreglerad användning av tillägg.
Integritetspolicyer. Att läsa dem är som att se färg torka. För de flesta användare är det värre än att läsa det finstilta i sina bolåneavtal; och det säger en del.
Förutom att vi gjorde det.
LayerX Security-forskarna Dar Kahllon och Guy Erez analyserade sekretesspolicyerna för tusentals webbläsartillägg som finns tillgängliga i officiella butiker. De letade efter en sak: om utgivaren uttryckligen förbehöll sig rätten att sälja användardata.
Och vi hittade dem. Vår analys visade minst 80 sådana tillägg, av vilka några arbetade i samverkan, och utvecklades av samma utvecklare för alla tillägg. De sträcker sig från annonsblockerare och streamingverktyg till hjälpmedel för jobbansökningar, tillägg för nya flikar och B2B-plattformar för försäljningsintelligens.
De flesta av dessa policyer säger inte ”vi säljer dina uppgifter”. De säger ”vi kan komma att sälja”. Det är en juridisk säkring – men det betyder att dina uppgifter kan säljas när som helst, och att du redan har godkänt det. Så här ser det ut i praktiken:
"Vi kan komma att sälja eller dela dina personuppgifter med tredje part."
"Denna information kan komma att säljas till eller delas med affärspartners."
Tja, för att vara rättvis, gör de flesta inte det.
Figur 1. Transparens i integritetspolicyn
Enligt LayerX:s Enterprise Browser Extension Security Report 2026, 71 % av alla tillägg i Chrome Web Store publicerar inte ens en integritetspolicy.
Som ett resultat har mer än 73 % av användarna minst ett tillägg installerat utan en integritetspolicy, utan transparens i hur deras data hanteras. Det betyder att vår analys bara kunde förlita sig på de 29 % som har en integritetspolicy.
Och om vi antar att vissa av dessa tillägg utan någon integritetspolicy alls också kommer att sälja dina data vidare – och det finns ingen anledning att anta att de är bättre – är det verkliga antalet tillägg som kan komma att sälja dina data i Chrome Web Store i ... tiotusentals.
Vi byggde en pipeline för att analysera integritetspolicyer kopplade till webbläsartillägg i officiella butiker, genom att kombinera automatiserad klassificering med manuell verifiering.
Med utgångspunkt i ungefär 9 000 tillägg med URL:er för integritetspolicyer i vår databas lyckades vi hämta och analysera 6 666 policyer.
Rörledningen gick i tre steg:
Den slutliga datamängden inkluderar endast tillägg vars integritetspolicyer indikerar genuin kommersiell försäljning av användardata till tredje part
Även om dessa siffror kan verka låga, tänk på att de endast gäller för tillägg med integritetspolicyer till att börja med (mindre än en tredjedel av alla tillägg), och de tillägg som faktiskt berättar vad de gör med dina data. Den verkliga siffran är nästan säkert högre.
Här är några av våra viktigaste resultat:
När jag granskade bekräftade säljare fortsatte ett mönster att framträda. Olika tillägg, olika streamingplattformar, men samma prefix med tre bokstäver: QVI – förkortning för ”Initiativ för kvalitetstittare”.
Det som såg ut som orelaterade verktyg visade sig vara en enda operation: 24 webbläsartillägg – 21 för närvarande aktiva, 3 borttagna – som täckte nästan alla större streamingtjänster.
Alla publicerade av HideApp LLC, registrerad på 1021 East Lincolnway, Cheyenne, Wyoming – en adress som delas av hundratals andra LLC:er genom en registrerad agenttjänst – och som verkar under varumärket "dogooodapp. "
De största utökningarna i nätverket:
Över alla 21 live-anknytningar når nätverket nästan 800,000 användare.
Figur 2. Tilläggssida i Chrome Store för tillägget ”Anpassad profilbild för Netflix [QVI]”
Men deras integritetspolicy säger något som butikslistorna inte gör. Dessa tillägg samlar in omfattande information, inklusive:
De samlar även in ålder och kön – och om du inte anger demografiska uppgifter matchar de din e-postadress mot tredjeparts demografiska databaser för att fylla i luckorna.
Figur 3. Data som deklarerats som insamlad enligt sekretesspolicyn för tillägget ”Anpassad profilbild för Netflix [QVI]”.
Policyn beskriver försäljning av rapporter till innehållsskapare och studior, streamingplattformar, medieundersökningsföretag och marknadsföringsbyråer – tillsammans med "organisationer som köper anonymiserad tittardata".
Lägg ihop allt och du får ett distribuerat system för publikmätning som körs i användarnas webbläsare. En anonym utgivare samlar in tittarbeteenden från alla större streamingplattformar och bygger upp information om vad nästan 800 000 personer tittar på, när och hur de interagerar med innehåll. Ingen av dessa användare registrerade sig för det. Lagligt sett accepterade de villkoren när de klickade på "Lägg till i Chrome". Praktiskt taget läste ingen dem.
Vi bekräftade åtta annonsblockerare som förbehåller sig rätten att sälja eller dela användarinformation med tredje part. Verktyg som folk installerar för att stoppa spårning – säljer istället spårningsdata. Tillsammans når de över 5.5 miljoner användare.
Om din annonsblockerare har en integritetspolicy som är längre än två stycken, läs den.
Figur 4. Utvald annonsblockerare i Chrome Store
Det här är inte de största tilläggen på listan, men de visar hur långt dataförsäljningsmodellen når.
Av de 82 bekräftade säljarna är 29 av dem B2B-säljinformationsverktyg. Deras verksamhet is data, så själva avslöjandet är inte en överraskning. Vi räknar dem inte tillsammans med de konsumentriktade tilläggen.
Men de hör hemma i den här konversationen. Dessa tillägg finns på företagets datorer. Det innebär att anställdas surfbeteende, såsom interna webbadresser, SaaS-instrumentpaneler och forskningsaktivitet, flödar in i kommersiella databaser som dina konkurrenter kan köpa. Risken handlar inte om att användare blir lurade. Det handlar om att företagsdata lämnar webbplatsen via en kanal som ingen tittar på.
De flesta säkerhetsutvärderingar av tillägg fokuserar på behörigheter eller kända skadliga indikatorer – de flaggar tillägg som begär överdriven åtkomst eller matchar hotinformation. Det upptäcker skadlig kod. Det upptäcker inte ett tillägg som öppet förbehåller sig rätten att sälja dina webbläsardata.
En förlängning med ett avslöjande om dataförsäljning är inte en hypotetisk risk. Det är en uttalad affärspraxis, som finns i ett dokument som dina anställda accepterat utan att läsa.
Tre frågor värda att ställa sig:
De flesta webbläsare stöder redan centraliserad hantering av tillägg genom företagspolicyer – Chromes ExtensionSettings, Edges gruppolicyer och Firefox företagskonfigurationer. Om du inte har någon policy för tilläggsstyrning är det det första steget. Om du har en, lägg till granskning av integritetspolicyn i utvärderingskriterierna. Behörigheter ensamma säger inte tillräckligt.
För detta ändamål lade LayerX till ett nytt filter för att upptäcka och filtrera (och blockera, om så önskas) tillägg som antingen inte har någon integritetspolicy alls, eller förbehåller sig rätten att sälja personuppgifter.
Överväg att blockera tillägg som antingen avslöjar försäljning av användardata eller inte publicerar någon integritetspolicy alls.
Figur 5. LayerX Extension datasekretessfilter
Webbläsartillägg är bland webbens kraftfullaste och minst granskade verktyg. Även om mycket fokus ligger på skadliga program som aktivt stjäl användar- och företagsdata, kan integritetsintrång låta vardagliga, men kan också vara riskabla.
Att gå igenom och läsa sekretesspolicyn för varje tillägg som varje användare har i din organisation kan leda till hundratals eller tusentals individuella tillägg; det är uppenbarligen inte genomförbart.
Istället behöver organisationer börja driftsätta automatiserade verktyg som kan begränsa misstänkta tillägg och ta hänsyn till sekretessinställningar.
Det här är inte en berättelse om skadlig kod. Ingen har hackat dig. Ingen har stal någonting. Tilläggen du kör just nu kanske säljer dina webbläsardata – och de sa att de skulle göra det. Det står precis där i integritetspolicyn. Sida 4. Paragraf 7. Den som ingen läser.
