Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.702.466 Produkten

Daniel Berger 26

Firefox-Erweiterung "Photobucket Hotlink Fix" spähte Nutzer aus

Firefox-Erweiterung "Photobucket Hotlink Fix" spähte Nutzer aus

Bild: Screenshot / Andreas Bielawski

Die Firefox-Erweiterung "Photobucket Hotlink Fix" repariert Bilderlinks – und sendete jede aufgerufene URL an einen externen Server. Das hat Mozilla inzwischen unterbunden. Doch das Beispiel zeigt: Nutzer sollten Browser-Add-ons nicht blind vertrauen.

Andreas Bielawski wunderte sich: Wieso sendete die Firefox-Erweiterung "Photobucket Hotlink Fix" jede aufgerufene URL unverschlüsselt an einen externen Server? Unbedingt nötig ist dieses Verhalten nicht, denn das Add-on repariert lediglich Bilderlinks von Photobucket. Der Dienst hatte quasi über Nacht ein neues Bezahlmodell eingeführt, woraufhin Millionen Fotos von eBay, Amazon und vielen anderen Webseiten verschwanden. "Photobucket Hotlink Fix" macht die verschwunden Bilder wieder sichtbar, ganz kostenlos und bequem.

Anzeige
Das Netzwerk-Tool Fiddler zeigt, wie das Add-on "Photobucket Hotlink Fix" bei jedem Seitenaufruf die URL an einen externen Server mit der IP 79.137.79.108 sendet.
Das Netzwerk-Tool Fiddler zeigt, wie das Add-on "Photobucket Hotlink Fix" bei jedem Seitenaufruf die URL an einen externen Server mit der IP 79.137.79.108 sendet.

Eigentlich eine feine Sache, die die Nutzer begeistert: "Funktioniert perfekt! Ich kann endlich wieder die Bilder in alten Foreneinträgen sehen!", schreibt einer im Add-on-Verzeichnis von Firefox. Auch Bielawski tippte eine Bewertung – und hakte nach: "[Das Add-on] ruft eine externe IP bei JEDEM Seitenaufruf auf". Warum das so sei, wollte Bielawski wissen. Mit dem Netzwerk-Tool "Fiddler" fand er außerdem heraus, dass ein POST-Request zu einem Server mit der IP 79.137.79.108 durchgeführt wird, "die vollständige URL steht im POST-Körper". Anders gesagt: Der Autor des Add-ons erfasst damit die komplette Browsing-Historie des Nutzers.

Add-on-Entwickler "BridgeTroll" reagierte auf die Bewertung und erklärte: "[Das Add-on] prüft über unseren Server, ob der Fix auf der besuchten Seite erlaubt ist". Es gebe nämlich Seitenbetreiber, die nicht wollen, dass das Add-on die Photobucket-Links auf ihren Seiten repariere.

Eine knappe Datenschutzerklärung weist auf die Verbindung zu dem Server hin. Dass jede aufgerufene URL übertragen wird, verschweigt der Autor aber. Zudem fehlt im Firefox-Verzeichnis ein Link zur Erklärung.
Eine knappe Datenschutzerklärung weist auf die Verbindung zu dem Server hin. Dass jede aufgerufene URL übertragen wird, verschweigt der Autor aber. Zudem fehlt im Firefox-Verzeichnis ein Link zur Erklärung.

Die Erklärung überzeugte Bielawski jedoch nicht. Wieso sollte das Add-on auf die Befindlichkeiten der Seitenbetreiber Rücksicht nehmen? Ein Werbeblocker würde schließlich auch nicht jede Seite fragen, ob er Banner filtern darf. "Außerdem fehlt [im Add-on-Verzeichnis] eine Datenschutzerklärung", kritisiert Bielawski.

Dringend nötig ist der Kontakt zu dem externen Server nicht, in anderen Versionen des Add-ons fehlt der POST-Request. Die Chrome-Fassung etwa nimmt keinen Kontakt zu dem externen Server auf, obwohl sie "deutlich mehr Nutzer hat", wundert sich Bielawski. (Fast 33.000 Anwender haben das Add-on installiert.) Auf GitHub gibt es eine Fassung des Add-ons "ohne die Serververbindung und ohne [das] Amazon-Zeugs, aber mit aktivem Google Analytics Code".

In der Beschreibung des Chrome-Add-ons ist immerhin eine knappe Datenschutzerklärung verlinkt ("Privacy policy"), die auch die Kontaktaufnahme zum externen Server erwähnt – nicht aber die Übertragung der URL. Allerdings kontaktiert die Chrome-Fassung den Server gar nicht.

Anzeige
Die Chrome-Version von "Photobucket Hotlink Fix" sucht auf Webseiten nach Amazon-Werbelinks und tauscht die enthaltene ID aus. So erhält der Add-on-Programmierer die Provisionen.
Die Chrome-Version von "Photobucket Hotlink Fix" sucht auf Webseiten nach Amazon-Werbelinks und tauscht die enthaltene ID aus. So erhält offenbar der Add-on-Programmierer die Provisionen.

Dafür macht die Chrome-Variante andere kuriose Dinge: Sie ändert Referrer-Links von Amazon, sodass offenbar der Entwickler des Add-ons alle Werbegelder erhält. Ist also ein solcher Werbelink in einer Website eingebunden, entfernt das Add-on ungefragt dessen ID und setzt die mutmaßliche ID des Entwicklers ein. Für den Tausch sind nur ein paar Codezeilen nötig, wie ein Blick in die JS-Datei des Add-ons zeigt (siehe Screenshot). Amazon erlaubt solche Heimlichtuereien ausdrücklich nicht.

In der Firefox-Version des Add-ons existiert der Amazon-Code zwar ebenfalls, dort ist er aber auskommentiert und damit inaktiv, wie Bielawski feststellte. (Den Amazon-ID-Austausch hatte bereits "Akamaru" entdeckt und in seinem Blog beschrieben. Sein Fazit: "Wirklich schade, dass man immer weniger Plug-ins vertrauen kann".)

Noch einmal zusammengefasst: Das Firefox-Add-on "Photobucket Hotlink Fix" sendete im Hintergrund jede aufgerufene URL an einen externen Server mit der IP 79.137.79.108. Der Entwickler des Add-ons dürfte damit die die komplette Browsing-Historie der Nutzer erfasst haben. Derzeit haben knapp 6000 Firefox-Anwender das Add-on installiert.

Andreas Bielawski bezieht seine Beobachtungen auf Version 1.3.14, die inzwischen nicht mehr abrufbar ist. Mozilla erklärte auf Nachfrage von heise online: "Wir haben das jüngste Update des Add-Ons 'Photobucket Hotfix Link' am 5. Februar als Ergebnis unseres Überprüfungsprozesses entfernt. Die aktuell verfügbare Version ist von dem Problem nicht betroffen." Das Add-ons-Verzeichnis listet nun Version 1.3.12 (vom 22. November 2017) auf. Diese ältere Fassung nimmt keinen Kontakt zu dem externen Server auf, wie ein erneuter Test mit Fiddler bestätigt.

Mozilla erklärte außerdem: "Wir nehmen die Souveränität und Privatsphäre der Nutzer sehr ernst. Wir verlangen von allen Add-Ons, die auf addons.mozilla.org gehostet werden, dass sie unsere Überprüfungsrichtlinien befolgen und sicherstellen, dass ein Benutzer eine bewusste Entscheidung darüber treffen kann, ob er ein Add-On verwenden möchte oder nicht."

In der Chrome-Version fand die URL-Übertragung offenbar nicht statt, dafür tauschte das Add-on die Amazon-IDs vom Partnerprogramm aus. In der Opera-Variante (890 Nutzer) ist laut Bielawski Google Analytics aktiviert; ein Link zur Datenschutzerklärung fehlt. Diese ist nur im Chrome Web Store verlinkt und fällt äußerst knapp aus. Zudem verschweigt sie die mögliche Übertragung der URL.

All das sind ziemlich gute Gründe, bei der nächsten Installation eines Add-ons etwas vorsichtiger zu sein. Zur Sicherheit empfiehlt sich zudem eine Deinstallation von "Photobucket Hotlink Fix" – so praktisch das Add-on auch ist. (dbe)

26 Kommentare

Themen:

Anzeige
  1. WebEx: Böses Sicherheitsloch in Ciscos Web-Conferencing

    Böses Sicherheitsloch in Ciscos Web-Conferencing

    Die von Millionen genutzte Browser-Erweiterung Cisco WebEx stümpert in Sachen Sicherheit. Selbst die von Cisco in aller Eile produzierte neue Version dichtet eine klaffende Lücke bestenfalls notdürftig ab.

  2. Firefox Quantum ist da: "Größtes Update aller Zeiten"

    Firefox Quantum ist da: "Größtes Update aller Zeiten"

    Firefox Quantum ist laut Mozilla das "größte Update aller Zeiten". Der Browser ist flinker, schlanker und schöner geworden und soll endlich mit Chrome mithalten – und ihn überholen. Gelingt Firefox das große Comeback?

  3. Werbe-Add-On für Mr Robot: Kritik an Mozilla

    Mozilla Firefox

    Nachdem der Browserhersteller Firefox-Nutzern automatisch eine Erweiterung installiert hat, um eine TV-Serie zu bewerben, rudert Mozilla nun zurück.

  4. NoScript jetzt auch für Firefox Quantum verfügbar

    Die NoScript-Erweiterung gibt es jetzt auch für Firefox Quantum

    Der beliebte Skriptblocker für Firefox ist knapp eine Woche nach der Veröffentlichung der neuen Browser-Version wieder verfügbar. Allerdings fehlen noch einige Funktionen, die in der alten Version verfügbar waren.

  1. Add-ons unter Firefox installieren - so geht's

    Add-ons

    Du möchtest in Mozilla Firefox Add-Ons wie Adblocker installieren? Wir erklären dir, wie du die Erweiterungen für diesen Browser einbaust.

  2. Youtube lädt nicht - was tun?

    Immer wieder kommt es zu Ladeproblemen von Youtube-Videos. Wir zeigen Ihnen, was Sie tun können, wenn es mal wieder hängt.

  3. Welche Browser unterstützen HTML5?

    Es gibt dutzende Web-Browser, die für unterschiedliche Zwecke gedacht sind. Aber welche unterstützen HTML5-Webseiten?

  1. Sternenexplosion: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Astronomie: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Der Argentinier Victor Buso widmet sich in seiner Freizeit der Astronomie: Nun ist es ihm offenbar als erstem Menschen überhaupt gelungen, die Anfänge einer Supernova abzulichten. Forscher erhoffen sich wichtige neue Erkenntnisse.

  2. Fritzbox 7583: Neuer AVM-Router für extraschnelles DSL

    MWC: Fritzbox 7583 für extraschnelles DSL

    Äußerlich gleich, innen flotter als der Vorgänger 7580: Die Fritzbox 7583 schafft an gebondeten G.fast-Anschlüssen maximal 3 GBit/s Downloadrate. Super Vectoring beherrscht sie aber auch.

  3. Klartext: Der Frosch, der Auto fährt

    Klartext

    Bei Comma.ai kann man sich an einem Open-Source-Projekt zum autonomen Fahren beteiligen. Das ist cool. Gründer George Hotz prahlt gern: "We are going to win autonomous cars." Das ist weniger cool. Ich verbreite etwas Ernüchterung

  4. Studie: IT-Freiberufler nagen nicht am Hungertuch

    Xing AG

    Selbständige werden häufig als Risikogruppe für Altersarmut dargestellt, was laut einer repräsentativen Allensbach-Studie zumindest für den IT-Bereich nicht zutrifft. Dort liege das frei verwertbare Monatsnetto-Einkommen für Freelancer bei fast 4700 Euro.

Anzeige