Een nieuw onderzoek heeft aangetoond dat tientallen veelgebruikte browserextensies gebruikersgegevens verzamelen en verkopen aan derden, vaak met volledige wettelijke toestemming verborgen in hun privacybeleid.
Het onderzoek, uitgevoerd door LayerX Security , identificeerde meer dan 80 browserextensies die minstens 6,5 miljoen gebruikers treffen die openlijk persoonlijke gegevens te gelde maken.
In tegenstelling tot traditionele kwaadaardige extensies die stiekem informatie exfiltreren, opereren veel van de gemarkeerde tools binnen wettelijke grenzen. Ontwikkelaars maken expliciet praktijken voor gegevensverzameling en doorverkoop bekend in hun privacybeleid, waardoor de activiteit onder de huidige regelgeving toegestaan is.
Onderzoekers ontdekten dat het probleem wijdverspreid is in verschillende categorieën extensies, waaronder adblockers, mediatools en productiviteitsadd-ons. In één geval werd een groep ad-blocking extensies met een gezamenlijke gebruikersbasis van meer dan 5,5 miljoen gevonden die browsegegevens verzamelden en verkochten.
De verzamelde gegevens variëren, maar kunnen browse-activiteit, streaminggewoonten, demografische inzichten en afgeleide persoonlijke kenmerken zoals leeftijd en geslacht omvatten. Sommige extensies werden ook gevonden om activiteiten te volgen op platforms zoals Netflix, Amazon Prime Video en andere grote diensten.
Een belangrijke factor die deze praktijken mogelijk maakt, is de toestemming van de gebruiker, ook al wordt deze zelden geïnformeerd. Volgens LayerX accepteren veel gebruikers toestemmingen en privacyvoorwaarden zonder deze te controleren, waardoor extensies hun gegevens legaal kunnen verzamelen en verkopen.
Tegelijkertijd benadrukt het onderzoek bredere transparantiekloof in het ecosysteem van browserextensies. Ongeveer 71% van de extensies in de Chrome Web Store publiceert helemaal geen privacybeleid, waardoor het voor gebruikers moeilijk is te begrijpen hoe hun data wordt behandeld.
Beveiligingsexperts merken op dat browserextensies uitgebreide toegang hebben tot gevoelige informatie, waaronder browsegeschiedenis en paginainhoud, wat de mogelijke impact van zowel legale als kwaadaardige gegevensverzameling vergroot.
De bevindingen wijzen op een dual-risicomodel. Aan de ene kant zijn expliciet conforme extensies die gebruikersgegevens gelde maken via geopenbaarde praktijken. Aan de andere kant kwaadaardige of gecompromitteerde extensies die vergelijkbare toegangsrechten misbruiken zonder openbaarmaking.
Naarmate browsergebaseerde tools in functionaliteit blijven uitbreiden, waarschuwen onderzoekers dat het extensie-ecosysteem een grotendeels ongereguleerd kanaal blijft voor grootschalige dataverzameling. De combinatie van brede rechten, beperkte controle en lage gebruikersbewustzijn creëert omstandigheden waarin persoonlijke gegevens op grote schaal kunnen worden gemonetariseerd, vaak zonder betekenisvolle transparantie.