Software-Add-ons, mit denen Benutzer ihre Browser ergänzen, finden Shopping-Angebote, korrigieren Grammatik- und Tippfehler, verwalten Passwörter oder übersetzen Webseiten. Es gibt Tausende davon, und sie erfreuen sich grösster Beliebtheit. Doch sie können gefährlich sein, warnen Forscher des Georgia Institute of Technology. Denn sie extrahieren automatisch private Benutzerinhalte von Webseiten, was Millionen von Internetnutzern betrifft.
"Leider können dieselben Funktionen, auf die sich Erweiterungen stützen, um das Web-Browsing-Erlebnis zu verbessern, auch missbraucht werden, um die Privatsphäre der Benutzer zu verletzen, und zwar möglicherweise ohne Wissen oder ausdrückliche Zustimmung der Benutzer", sagt Qinge Xie, Doktorandin von Frank Li, Assistenzprofessor für Cybersicherheit und Computer-Engineering.
"Selbst in Fällen, in denen die Datenerfassung harmlos und für die legitime Funktionalität notwendig ist, birgt sie Datenschutzrisiken. Sensible Benutzerdaten können von Dritten übertragen und gespeichert werden, die die Daten möglicherweise weitergeben oder sie bei einem Cyberangriff verlieren", heisst es weiter.
Das Team hat ein Web-Framework namens "Arcanum" entworfen, um zu testen, ob Erweiterungen automatisch Benutzerdaten von Webseiten extrahieren. Sie nutzten das System, um mehr als 100.000 funktionale Erweiterungen zu untersuchen, die im Chrome Web Store verfügbar sind. Konkret nutzten sie das System, um zu überwachen, ob die Erweiterungen Benutzerdaten von sieben beliebten Websites extrahierten, von denen bekannt ist, dass sie sensible Informationen enthalten: Amazon, Facebook, Gmail, Instagram, Linkedin, Outlook und Paypal.
Die Forscher haben festgestellt, dass die Erfassung potenziell sensibler und privater Daten durch Browser-Erweiterungen weitverbreitet ist. Sie identifizierten mehr als 3.000 Add-ons, die automatisch benutzerspezifische Daten erfassen. Mehr als 200 Erweiterungen übernahmen sensible Benutzerdaten direkt von Webseiten und luden sie auf Server hoch.
Manchmal sammeln Browser-Erweiterungen Benutzerdaten aus legitimen Gründen, zum Beispiel wenn die gesammelten Daten mit der Funktionalität oder dem Zweck der Erweiterung zusammenhängen. Aus diesem Grund könne es schwierig sein, die Absicht hinter dem Datenerfassungsverhalten der Erweiterung zu erkennen.
Laut den Forschern sollten Google und Co strengere Datenschutzrichtlinien für Erweiterungen entwickeln oder bestehende Richtlinien umfassender durchsetzen. Konzerne, deren sensible Benutzerdaten erfasst werden, könnten auch die Massnahmen zum Schutz ihrer Kunden verstärken.
Der Online-Stellenmarkt für ICT Professionals