In ur browser, hijacking ur privacy

Werbung und Privatsphäre gehen nicht gut zusammen. Nicht nur in der offensichtlichen Lesart. Wie der Fall der Window Resizer Chrome Extension zeigt, können Angriffe auf die Privatsphäre auch indirekt durch Werbung zustande kommen.

Die Chrome-Erweiterung erlaubt Webentwicklern, sehr einfach die Größe von Browserfenstern zu verändern, um Seiten mit verschiedenen Layouts auszuprobieren. Seit einem Update Mitte Dezember 2013 hat diese Erweiterung allerdings noch eine versteckte Zusatzfunktion: Sie biegt alle Links auf Google-Suchergebnisseiten um und leitet sie durch Ecosia EcoLinks um – ein Werbeunternehmen, das die so gewonnenen Daten auswertet und verkauft, aber nach eigenen Angaben immerhin 80% der Profite für ökologische Zwecke einsetzt.

Der einzige Hinweis auf diese Änderung war eine kleine „NEW“-Badge im Icon der Erweiterung, und die Voreinstellung für dieses Verhalten war natürlich aktiv, man hätte also nicht nur die Badge sehen müssen, sondern auch die Optionen aufrufen und dort den Hinweis sehen und die Checkbox entfernen.

Ich schätze, dass für etwa eine Woche alle meine Google-Ergebnislinks erst mal über Ecosia weitergeleitet wurden. Da war nichts kritisches dabei, aber es zeigt wieder einmal, wem man wie sehr vertrauen kann. Der Beobachtung durch Google zu entgehen, ist extrem aufwendig und für mich meist ein akzeptabler Trade-off, aber irgendwelche Dritten sind riskanter. Immerhin hat Google die Extension schnell gesperrt, aber nicht aus den Browsern der User entfernt (und keinen Hinweis gegeben). Dennoch: Großer Mist, so was.

Für sichere(re) Kommunikation empfehle ich daher einen Open-Source-Browser mit so wenigen Add-ons wie möglich, z.B. Firefox. Generell ist von Extensions und Programmen abzuraten, bei nicht klar ist, wie sich die Entwicklung finanziert: Zahlt man für den Dienst, gibt es Spendenaufrufe, einen Mäzen oder eine unterstützende Gruppe, oder sind da vielleicht versteckte Monetarisierungsmodelle? Und sind automatische Updates wünschenswert? Über all diese Dinge sollte man nachdenken und seine Paranoia entsprechend justieren. Sicherheit ist nicht immer einfach.

2 Replies to “In ur browser, hijacking ur privacy”

  1. Hab schon ein paar mal gedacht, Extensions sind mir eine Nummer zu heftig. Habe Pocket nach wie vor drin, aber darüber hinaus tue ich mich schwer. Vor allem bei solchen Infodialogen: http://kots.ch/4r7

  2. @Mike Ja, das ist eben vor allem ein Problem von Chromes Extension-Modell. Es ist aber auch sehr schwierig, dem beizukommen – in dem Moment, wo ich z.B. ein Bookmarklet im Kontext einer Seite ausführe, könnte das potentiell alles mit den Daten auf der Seite anstellen. Bei Extensions ist es nicht anders.

Comments are closed.