Go to Top

Spionage Add-On

Dreister Datenklau

Endlich Feierabend mit gemütlichem Couch-Potato-Zappen. Auf NDR bei Panorama 3 bringen sie was über angeblich anonymisierte Daten, die von Browsererweiterungen (Add-Ons) gesammelt werden. Manche dieser kostenlosen Erweiterungen schicken gesammelte Nutzerdaten an die Hersteller, die sie dann weiterverkaufen.

Interessant ist dabei, dass sich die angeblich anonymen Daten recht einfach wieder den ursprünglichen Nutzern zuordnen lassen. Im Bild zu sehen ist die Erweiterung WoT – „Web of Trust“, die eigentlich dafür sorgen soll, dass im Web sicherer gesurft werden kann, und daher von mehr als 100 Millionen Nutzern (Stand 2013) installiert wurde. Auch der Autor dieser Zeilen hatte diese Browsererweiterung einige Zeit auf seinem Rechner.

Und so funktioniert WoT: Wenn das Add-On installiert ist und eine Webseite aufgerufen wird, wird der URL der Webseite an WOT übermittelt, wo er mit einer Datenbank abgeglichen wird. Das Ergebnis – sicher / unsicher – wird an das Add-On übermittelt. So kann der Nutzer sehen, ob die Webseite vertrauenswürdig ist. Mehr als die Übermittlung der URL ist für diesen Service nicht nötig. Aber WoT belässt es nicht dabei, es werden viel mehr Informationen übertragen – sehr viel mehr…

Der NDR hat zum Zwecke der Recherche ein Scheinfirma gegründet, um sich solche Datensätze zu besorgen. Aus dem Probedatensatz konnte der Sender 50 Nutzer identifizieren – beispielsweise über Anmeldenamen oder E-Mail-Adressen – und auch einige Informationen, die man nicht so gerne nach außen dringen lassen will: Ein Richter ist zu finden, der neben der Suche nach einer neuen Robe auch bei Pornoseiten vorbeischaut. Oder ein Kriminalbeamter, der bei Google Translator eine Anfrage über einen Kriminellen ins Englische übertragen ließ. Reisen von Nutzer ließen sich nachverfolgen, Rückschlüsse auf Drogenkonsum und sexuelle Vorlieben ziehen. Selbst Geschäftsgeheimnisse und Umsatzzahlen einer Firma waren zu finden.

Mike Kuketz von Kuketz IT-Security hat im Vorfeld der Reportage WoT eine Falle gestellt. Er richtete die Subdomain what.kuketz.de ein, setzte eine virtuelle Maschine auf, installierte Firefox und als einziges Add-On WoT. Und die daraus von Web of Trust gezogenen Informationen tauchten in den vom NDR gekauften Datensätzen auf. Zitat Kuketz: „Jede URL, die ich in diesem Zeitraum besuchte, erscheint ungekürzt, inklusive Session ID, in den Datensätzen des »Datenhändlers«“. Das bedeutet, dass WoT den gesamten Internetverkehr eines Nutzers protokolliert.

Aus dem Kauderwelsch, aus dem die Datensätze bestanden, konnte der Sicherheitsfachmann mit etwas detektivischem Geschick die ursprünglichen Informationen extrahieren. Und die bestehen aus den GET- und POST-Requests, die jedes Mal beim Ansurfen einer Website übertragen werden. Ob Amazon-Kauf oder Google-Suche, ob Reisebuchung oder die Anmeldung bei einem Flirt-Portal – alles, was im URL steht und vieles, was in Formularfelder eingetragen wurde ist jetzt bei WoT gespeichert. Und diese Daten werden verkauft. Internetsessions von Millionen von Menschen über Monate und Jahre, irgendwo draußen in der Welt sind sie als lesbare Informationen in Händen von Irgendwem.

In der Beschreibung von WoT auf der offiziellen Firefox Add-On-Seite steht zu lesen:“WOT ist ein Reputations- und Rezensionsservice für Websites, der Ihnen dabei hilft, eine fundierte Entscheidung darüber zu treffen, ob Sie einer Website vertrauen möchten, wenn Sie online suchen, shoppen oder surfen.“

Zwar sagt WoT in seinen AGB, dass Daten an Dritte ausgeliefert würden, allerdings seien diese anonymisiert. Nirgendwo steht aber, das hier ein großer Teil unseres Lebens verramscht wird.

Zwar wurde dieser Fall nur mit WoT als Add-On für Firefox geprüft, allerdings ist es möglich, dass auch bei anderen Browsern, für die es das Add-On gibt, die selben Informationen an den „Reputations- und Rezensionsservice“ geliefert werden.

Und es ist wahrscheinlich, dass nicht nur WoT so verfährt. Man sollte sich also gut überlegen, welche Zusatzprogrämmchen man sich in den Browser lädt.

Wer sich für die technische Seite der „Falle“ von Mike Kuketz interessiert, findet ausführliche Informationen auf seinem Blog.

Bildquelle: Christoph Scholz / flickr – Lizenz: CC2