Eine neue Untersuchung hat ergeben, dass Dutzende weit verbreitete Browsererweiterungen Nutzerdaten an Dritte sammeln und verkaufen, oft mit vollständiger rechtlicher Einwilligung, die in ihren Datenschutzrichtlinien verankert ist.
Die von LayerX Security durchgeführte Studie identifizierte mehr als 80 Browser-Erweiterungen, die mindestens 6,5 Millionen Nutzer betreffen, die persönliche Daten offen monetarisieren.
Im Gegensatz zu traditionellen bösartigen Erweiterungen, die heimlich Informationen exfiltrieren, arbeiten viele der markierten Tools innerhalb der gesetzlichen Grenzen. Entwickler legen in ihren Datenschutzrichtlinien ausdrücklich Datenerfassung und Wiederverkaufspraktiken offen, wodurch die Aktivität nach den aktuellen Vorschriften zulässig ist.
Forscher fanden heraus, dass das Problem in verschiedenen Kategorien von Erweiterungen weit verbreitet ist, darunter Adblocker, Medientools und Produktivitäts-Add-ons. In einem Fall wurde eine Gruppe von Werbeblockierungs-Erweiterungen mit einer kombinierten Nutzerbasis von über 5,5 Millionen Nutzern entdeckt, die Browsing-Daten sammelten und verkauften.
Die gesammelten Daten variieren, können aber Surfaktivitäten, Streaming-Gewohnheiten, demografische Erkenntnisse und abgeleitete persönliche Eigenschaften wie Alter und Geschlecht umfassen. Einige Erweiterungen wurden auch gefunden, um Aktivitäten auf Plattformen wie Netflix, Amazon Prime Video und anderen großen Diensten zu verfolgen.
Ein entscheidender Faktor, der diese Praktiken ermöglicht, ist die Zustimmung des Nutzers, auch wenn sie selten darüber informiert wird. Laut LayerX akzeptieren viele Nutzer Berechtigungen und Datenschutzbedingungen, ohne diese zu prüfen, sodass Erweiterungen ihre Daten legal sammeln und verkaufen können.
Gleichzeitig zeigt die Forschung größere Transparenzlücken im Ökosystem von Browsererweiterungen auf. Rund 71 % der Erweiterungen im Chrome Web Store veröffentlichen überhaupt keine Datenschutzrichtlinie, was es den Nutzern erschwert zu verstehen, wie ihre Daten behandelt werden.
Sicherheitsexperten weisen darauf hin, dass Browsererweiterungen umfangreichen Zugriff auf sensible Informationen haben, einschließlich Browserverlauf und Seiteninhalte, was die potenziellen Auswirkungen sowohl legaler als auch bösartiger Datenerhebung erhöht.
Die Ergebnisse deuten auf ein Dual-Risiko-Modell hin. Auf der einen Seite gibt es explizit konforme Erweiterungen, die Nutzerdaten durch offengelegte Praktiken monetarisieren. Andererseits böswillige oder kompromittierte Erweiterungen, die ähnliche Zugriffsrechte ohne Offenlegung ausnutzen.
Da browserbasierte Tools weiterhin an Funktionalität wachsen, warnen Forscher, dass das Erweiterungsökosystem weiterhin ein weitgehend unregulierter Kanal für groß angelegte Datenerhebung bleibt. Die Kombination aus weitreichenden Berechtigungen, begrenzter Aufsicht und geringer Nutzeraufmerksamkeit schafft Bedingungen, in denen persönliche Daten in großem Maßstab monetarisiert werden können, oft ohne sinnvolle Transparenz.