Firefox-Add-ons

Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

Kürzlich berichteten wir über eine Mozilla-Webseite, die 14 Firefox-Add-ons für den Schutz der Privatsphäre empfiehlt. Peinlich für Mozilla: Darunter befand sich mit dem Add-on Web-Security eine Erweiterung, die heimlich nach Hause telefonierte. Unter anderem berichtete auch das Blog von Mike Kuketz über den Vorfall.

Peinlicher Vorfall

Nachdem die Presse dies aufgegriffen hatte, hat Mozilla das beanstandete Add-on aus dem Artikel und mittlerweile auch komplett aus dem Kreis der installierbaren Erweiterungen entfernt, ohne aber die Zahl der Add-ons zu ändern, dort steht immer noch 14. Es stellte sich heraus, dass Web-Security seinem Namen nicht gerecht wurde, sondern im Gegenteil bei jedem Seitenaufruf nicht nur die URL der aktuellen Webseite, sondern auch von den zuvor besuchten Seiten unverschlüsselt an einen deutschen Server gesendet hat.

Das Online-Magazin The Register fragte bei der Entwicklerfirma Creative Software Solutions nach. Deren Direktor Fabian Simon sagt, dass die Sammlung von Browsing-Informationen nur durchgeführt wird, um eine Website gegen die globale Blacklist von Web Security zu prüfen und fährt fort:

»Dies ist ein notwendiger Schritt, um die Funktionalität des Add-ons zu gewährleisten und hat nichts mit der Verfolgung des Browserverhaltens des Benutzers zu tun, daher zeigten diese Berichte nur einen Teil der Funktionsweise des Add-ons zum Schutz des Benutzers.Wir nehmen den Datenschutz sehr ernst und verwenden diese Server-Kommunikation nicht, um den Verlauf der Benutzer zu verfolgen.«

Die Entwickler erklärten mittlerweile, die Erweiterung überarbeiten und erneut einreichen  zu wollen. Wünschenswert wäre, weniger Daten und diese verschlüsselt zu versenden.

Mozilla greift durch

Mozilla, einmal wachgerüttelt, nahm weitere Firefox-Add-ons unter die Lupe, um weiteren peinlichen Entdeckungen von dritter Seite zu entgehen. Im Rahmen dieser Untersuchung wurden nun 23 Erweiterungen entfernt. Die beanstandeten Add-Ons wurden auch bei den Anwendern, die sie installiert haben, deaktiviert.

Unklare Motive

Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wurde, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ wenig Zweifel an den Absichten der Autoren aufkommen:

Es war offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken, so Wu zu der Webseite Bleeping Computer. Diese hat am Ende ihres Berichts alle entfernten Firefox-Add-ons aufgeführt. Darunter sind auch die Erweiterungen  Browser Security, Browser Privacy und Browser Safety, die URLs an die gleiche Serveradresse sendeten wie Web Security.

Verwandte Themen

Firefox 62 vereinfacht die Suche
views 246
Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0   Heute wird Mozilla Firefox 62 offiziell freigeben. War Firefox 60 eher zurüc...
Mozilla verschärft das Anti-Tracking
views 236
Bild: Mozilla | Lizenz: CC-By-3.0   Das Tracking beim Surfen im Internet missachtet nicht nur unsere Privatsphäre, es ermöglicht das Erst...
Mozilla schaltet Legacy-Add-ons für Firefox endgül...
views 209
Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0 Die Gnadenfrist für Anwender, die Firefox-Erweiterungen nach dem alten Standard noch p...
Mozilla empfiehlt Firefox Add-ons zum Schutz der P...
views 709
Bild: Mozilla   Mozilla steht beständig in der Kritik der Anwender. So auch dieser Tage wieder wegen der Datensammlung beim Test-Pilot Adv...
Thunderbird 60 von Mozilla veröffentlicht
views 958
Logo: Mozilla Lizenz: CC BY-SA 3.0 Der beliebte E-Mail-Client Thunderbird hat eine Aktualisierung auf Version 60 erhalten, die viele wichtige Ände...

Beitrag kommentieren

Alle Kommentare
  • Thoys

    21.08.2018, 17:34 Uhr

    Hallo,

    das habe ich mir schon oft gedacht und mich etwas geärgert. Firefox steht für ein freies und datensicheres Netz. Die Addons haben einen ganz anderen Ruf und die intransparenz dabei ist sehr schade. Bei mir war es, als ich gehört habe, dass Ghostery ganz viel nach Hause telefoniert. Da hab ich meinen Umgang geändert und so wenige Addons wie möglich in Gebrauch.
    Schön wäre, wenn es „überprüfte“ Addons gäbe, dann läge es bei mir, ob ich mich dafür entscheide eines zu nutzen oder nicht. Also das tut es natürlich jetzt auch schon, nur kenne ich als normaler Nutzer die Auswirkungen meines Tuns nicht.

    Schöne Grüße und danke für den Artikel