KI-Gespräche von 8 Millionen Nutzern wurden von einer „Privacy“-Erweiterung zu Profitzwecken verkauft

• Es wurde bestätigt, dass 8 Browser-Erweiterungen wie Urban VPN Proxy die Inhalte von Gesprächen auf KI-Plattformen sammelten und verkauften
• Diese Erweiterungen sammeln automatisch Gesprächsdaten aus 10 KI-Diensten wie ChatGPT, Claude, Gemini und Copilot, ohne dass Nutzer dies deaktivieren können
• Die Datenerfassung läuft dauerhaft im Hintergrund, unabhängig von der VPN-Funktion; alle Prompts, Antworten, Zeitstempel und Sitzungsinformationen werden übertragen
• Der Betreiber Urban Cyber Security Inc. und das verbundene Unternehmen BiScience verkaufen diese Daten an Dritte für Marketinganalysen
• Erweiterungen, die die „Featured“-Prüfung von Google und Microsoft bestanden hatten, waren monatelang im Umlauf und offenbaren Schwachstellen in den Schutzmechanismen für Nutzer

Entdeckung

• Koi suchte mit seiner Wings AI Risk Engine nach Browser-Erweiterungen, die Daten aus KI-Gesprächen an externe Stellen übertragen können, und stellte dabei fest, dass überraschenderweise Urban VPN Proxy mit seiner großen Nutzerbasis weit oben erschien
• Urban VPN Proxy ist eine kostenlose VPN-Erweiterung mit mehr als 6 Millionen Nutzern, einer Bewertung von 4,7 und dem Google-„Featured“-Badge und wirbt mit Datenschutz
• Die Untersuchung ergab, dass diese Erweiterung mit standardmäßig aktivierter Abhörfunktion für Gespräche auf KI-Plattformen ausgeliefert wurde

Art der Erfassung

• Die Erweiterung sammelt Daten dauerhaft unabhängig davon, ob eine VPN-Verbindung besteht
• Wenn Nutzer KI-Websites wie ChatGPT, Claude oder Gemini aufrufen, werden spezielle Skripte (chatgpt.js, claude.js usw.) injiziert
• Diese Skripte überschreiben fetch() und XMLHttpRequest, fangen alle Netzwerkanfragen und -antworten ab und extrahieren Prompts, Antworten, Gesprächs-IDs und Zeitstempel
• Die extrahierten Daten werden über window.postMessage an ein Content-Skript übergeben, danach sendet ein Background-Worker sie an Urban-VPN-Server (analytics.urban-vpn.com usw.)
• Zu den gesammelten Daten gehören sämtliche Ein- und Ausgaben, Sitzungsmetadaten und Informationen zum verwendeten Modell

Versions-Zeitleiste

• Versionen vor 5.5.0 enthalten keine KI-Erfassungsfunktion
• Ab Version 5.5.0, veröffentlicht am 9. Juli 2025, war die Erfassung von KI-Gesprächen standardmäßig aktiviert
• Durch spätere automatische Updates wurde der Code zur Datenerfassung auch bei bestehenden Nutzern ohne gesonderte Zustimmung hinzugefügt
• Wer seit Juli 2025 mit installiertem Urban VPN KI-Dienste genutzt hat, muss davon ausgehen, dass Gesprächsinhalte auf Servern gespeichert und mit Dritten geteilt wurden

Die Realität der „AI Protection“-Funktion

• In der Beschreibung der Erweiterung steht, die „AI Protection“-Funktion verhindere das Durchsickern persönlicher Daten und warne vor riskanten Links
• Die Analyse des tatsächlichen Codes zeigte jedoch, dass Warnfunktion und Datenerfassung getrennt arbeiten; auch bei deaktivierter Warnfunktion läuft die Erfassung weiter
• Die Erweiterung warnt Nutzer davor, E-Mail-Adresse oder Telefonnummer zu teilen, überträgt diese Daten aber gleichzeitig an die Urban-VPN-Server
• Damit wurde eine als Schutz getarnte Struktur zur Datenextraktion festgestellt

Verbreitung desselben Codes

• Derselbe KI-Erfassungscode wurde auch in 7 weiteren Erweiterungen gefunden
  • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
  • Edge: dieselben 4 Varianten
• Betroffen sind insgesamt mehr als 8 Millionen Nutzer
• Diese Erweiterungen tarnen sich als unterschiedliche Kategorien wie VPN, Werbeblocker oder Sicherheitshelfer, teilen jedoch dasselbe Überwachungs-Backend
• Die meisten trugen ein „Featured“-Badge in den Stores von Google oder Microsoft und wurden so mit hohem Nutzervertrauen verbreitet

Betreiber und Datenfluss

• Urban VPN wird von Urban Cyber Security Inc. betrieben und ist mit dem Datenbroker BiScience (B.I Science Ltd.) verbunden
• BiScience war bereits in der Vergangenheit Sicherheitsforschern durch das Sammeln und den Weiterverkauf von Clickstream-Daten aufgefallen
• BiScience vermarktet die gesammelten Daten über Produkte wie AdClarity und Clickstream OS
• Der vorliegende Fall ist eine Ausweitung von der Sammlung des Browserverlaufs auf die Sammlung von KI-Gesprächen
• In der Datenschutzerklärung heißt es, dass „gesammelte Web-Browsing-Daten mit BiScience geteilt und für kommerzielle Insights genutzt werden“

Problematische Nutzerinformation

• Im bei der Installation angezeigten Zustimmungs-Popup wird zwar die „Verarbeitung von ChatAI-Kommunikation“ erwähnt, der Zweck der Erfassung von KI-Gesprächen wird jedoch nicht klar erläutert
• In der Datenschutzrichtlinie findet sich hingegen die Aussage, dass KI-Eingabe- und -Ausgabedaten für Marketinganalysen offengelegt werden
• In der Beschreibung im Chrome Web Store steht dagegen, „Daten würden nicht an Dritte verkauft“, was widersprüchliche Informationen darstellt
• Bei Installationen vor Juli 2025 wurde die Erfassungsfunktion per automatischem Update hinzugefügt, ohne dass Nutzer ein neues Zustimmungs-Popup sahen
• Nutzer haben keine Möglichkeit, nur die KI-Erfassung zu deaktivieren; selbst wenn VPN oder Schutzfunktion ausgeschaltet werden, läuft die Erfassung weiter

Problem bei Googles Prüfung

• Urban VPN Proxy trägt das „Featured“-Badge des Google Chrome Web Store
• Google erklärt, dieses Badge werde an Erweiterungen vergeben, die technische Best Practices und hohe Standards bei der Nutzererfahrung erfüllen
• Das bedeutet, dass Code zur Erfassung von KI-Gesprächen enthalten war, obwohl die Erweiterung die manuelle Prüfung von Google bestanden hatte
• Die Richtlinien des Chrome Web Store verbieten die Übertragung von Nutzerdaten an Datenbroker oder Werbeplattformen, während BiScience sich selbst als Datenbroker bezeichnet
• Trotzdem ist die Erweiterung weiterhin im Store gelistet

Fazit und Empfehlung

• Browser-Erweiterungen erfordern wegen ihrer weitreichenden Berechtigungen und automatischen Update-Funktion ein hohes Maß an Vertrauen
• Dieser Fall zeigt, dass sensible KI-Gesprächsdaten im Umfang von 8 Millionen Nutzern unter dem Vorwand von „Sicherheit“ gesammelt und verkauft wurden
• Die Prüfmechanismen von Google und Microsoft werden als ein Beispiel kritisiert, bei dem sie eher zu einer Scheinsicherheit als zum Schutz der Nutzer beigetragen haben
• Nutzer sollten Urban VPN und verwandte Erweiterungen sofort entfernen und berücksichtigen, dass KI-Gespräche seit Juli 2025 mit Dritten geteilt worden sein könnten

IOC (Indicator of Compromise)

• Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
• Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)