Menü

Firefox-Erweiterung "Photobucket Hotlink Fix" spähte Nutzer aus

Die Firefox-Erweiterung "Photobucket Hotlink Fix" repariert Bilderlinks – und sendete jede aufgerufene URL an einen externen Server. Das hat Mozilla inzwischen unterbunden. Doch das Beispiel zeigt: Nutzer sollten Browser-Add-ons nicht blind vertrauen.

Firefox-Erweiterung "Photobucket Hotlink Fix" spähte Nutzer aus

(Bild: Screenshot / Andreas Bielawski)

Andreas Bielawski wunderte sich: Wieso sendete die Firefox-Erweiterung "Photobucket Hotlink Fix" jede aufgerufene URL unverschlüsselt an einen externen Server? Unbedingt nötig ist dieses Verhalten nicht, denn das Add-on repariert lediglich Bilderlinks von Photobucket. Der Dienst hatte quasi über Nacht ein neues Bezahlmodell eingeführt, woraufhin Millionen Fotos von eBay, Amazon und vielen anderen Webseiten verschwanden. "Photobucket Hotlink Fix" macht die verschwunden Bilder wieder sichtbar, ganz kostenlos und bequem.

Das Netzwerk-Tool Fiddler zeigt, wie das Add-on "Photobucket Hotlink Fix" bei jedem Seitenaufruf die URL an einen externen Server mit der IP 79.137.79.108 sendet.

Eigentlich eine feine Sache, die die Nutzer begeistert: "Funktioniert perfekt! Ich kann endlich wieder die Bilder in alten Foreneinträgen sehen!", schreibt einer im Add-on-Verzeichnis von Firefox. Auch Bielawski tippte eine Bewertung – und hakte nach: "[Das Add-on] ruft eine externe IP bei JEDEM Seitenaufruf auf". Warum das so sei, wollte Bielawski wissen. Mit dem Netzwerk-Tool "Fiddler" fand er außerdem heraus, dass ein POST-Request zu einem Server mit der IP 79.137.79.108 durchgeführt wird, "die vollständige URL steht im POST-Körper". Anders gesagt: Der Autor des Add-ons erfasst damit die komplette Browsing-Historie des Nutzers.

Add-on-Entwickler "BridgeTroll" reagierte auf die Bewertung und erklärte: "[Das Add-on] prüft über unseren Server, ob der Fix auf der besuchten Seite erlaubt ist". Es gebe nämlich Seitenbetreiber, die nicht wollen, dass das Add-on die Photobucket-Links auf ihren Seiten repariere.

Eine knappe Datenschutzerklärung weist auf die Verbindung zu dem Server hin. Dass jede aufgerufene URL übertragen wird, verschweigt der Autor aber. Zudem fehlt im Firefox-Verzeichnis ein Link zur Erklärung.

Die Erklärung überzeugte Bielawski jedoch nicht. Wieso sollte das Add-on auf die Befindlichkeiten der Seitenbetreiber Rücksicht nehmen? Ein Werbeblocker würde schließlich auch nicht jede Seite fragen, ob er Banner filtern darf. "Außerdem fehlt [im Add-on-Verzeichnis] eine Datenschutzerklärung", kritisiert Bielawski.

Dringend nötig ist der Kontakt zu dem externen Server nicht, in anderen Versionen des Add-ons fehlt der POST-Request. Die Chrome-Fassung etwa nimmt keinen Kontakt zu dem externen Server auf, obwohl sie "deutlich mehr Nutzer hat", wundert sich Bielawski. (Fast 33.000 Anwender haben das Add-on installiert.) Auf GitHub gibt es eine Fassung des Add-ons "ohne die Serververbindung und ohne [das] Amazon-Zeugs, aber mit aktivem Google Analytics Code".

In der Beschreibung des Chrome-Add-ons ist immerhin eine knappe Datenschutzerklärung verlinkt ("Privacy policy"), die auch die Kontaktaufnahme zum externen Server erwähnt – nicht aber die Übertragung der URL. Allerdings kontaktiert die Chrome-Fassung den Server gar nicht.

Die Chrome-Version von "Photobucket Hotlink Fix" sucht auf Webseiten nach Amazon-Werbelinks und tauscht die enthaltene ID aus. So erhält offenbar der Add-on-Programmierer die Provisionen.

Dafür macht die Chrome-Variante andere kuriose Dinge: Sie ändert Referrer-Links von Amazon, sodass offenbar der Entwickler des Add-ons alle Werbegelder erhält. Ist also ein solcher Werbelink in einer Website eingebunden, entfernt das Add-on ungefragt dessen ID und setzt die mutmaßliche ID des Entwicklers ein. Für den Tausch sind nur ein paar Codezeilen nötig, wie ein Blick in die JS-Datei des Add-ons zeigt (siehe Screenshot). Amazon erlaubt solche Heimlichtuereien ausdrücklich nicht.

In der Firefox-Version des Add-ons existiert der Amazon-Code zwar ebenfalls, dort ist er aber auskommentiert und damit inaktiv, wie Bielawski feststellte. (Den Amazon-ID-Austausch hatte bereits "Akamaru" entdeckt und in seinem Blog beschrieben. Sein Fazit: "Wirklich schade, dass man immer weniger Plug-ins vertrauen kann".)

Noch einmal zusammengefasst: Das Firefox-Add-on "Photobucket Hotlink Fix" sendete im Hintergrund jede aufgerufene URL an einen externen Server mit der IP 79.137.79.108. Der Entwickler des Add-ons dürfte damit die die komplette Browsing-Historie der Nutzer erfasst haben. Derzeit haben knapp 6000 Firefox-Anwender das Add-on installiert.

Andreas Bielawski bezieht seine Beobachtungen auf Version 1.3.14, die inzwischen nicht mehr abrufbar ist. Mozilla erklärte auf Nachfrage von heise online: "Wir haben das jüngste Update des Add-Ons 'Photobucket Hotfix Link' am 5. Februar als Ergebnis unseres Überprüfungsprozesses entfernt. Die aktuell verfügbare Version ist von dem Problem nicht betroffen." Das Add-ons-Verzeichnis listet nun Version 1.3.12 (vom 22. November 2017) auf. Diese ältere Fassung nimmt keinen Kontakt zu dem externen Server auf, wie ein erneuter Test mit Fiddler bestätigt.

Mozilla erklärte außerdem: "Wir nehmen die Souveränität und Privatsphäre der Nutzer sehr ernst. Wir verlangen von allen Add-Ons, die auf addons.mozilla.org gehostet werden, dass sie unsere Überprüfungsrichtlinien befolgen und sicherstellen, dass ein Benutzer eine bewusste Entscheidung darüber treffen kann, ob er ein Add-On verwenden möchte oder nicht."

In der Chrome-Version fand die URL-Übertragung offenbar nicht statt, dafür tauschte das Add-on die Amazon-IDs vom Partnerprogramm aus. In der Opera-Variante (890 Nutzer) ist laut Bielawski Google Analytics aktiviert; ein Link zur Datenschutzerklärung fehlt. Diese ist nur im Chrome Web Store verlinkt und fällt äußerst knapp aus. Zudem verschweigt sie die mögliche Übertragung der URL.

All das sind ziemlich gute Gründe, bei der nächsten Installation eines Add-ons etwas vorsichtiger zu sein. Zur Sicherheit empfiehlt sich zudem eine Deinstallation von "Photobucket Hotlink Fix" – so praktisch das Add-on auch ist. (dbe)

Anzeige
Anzeige