KI-Gespräche von 8 Millionen Nutzern wurden von einer „Privacy“-Erweiterung zu Profitzwecken verkauft

 (koi.ai)
2 Punkte von GN⁺ 2025-12-17 | 1 Kommentare | Auf WhatsApp teilen
  • Es wurde bestätigt, dass 8 Browser-Erweiterungen wie Urban VPN Proxy die Inhalte von Gesprächen auf KI-Plattformen sammelten und verkauften
  • Diese Erweiterungen sammeln automatisch Gesprächsdaten aus 10 KI-Diensten wie ChatGPT, Claude, Gemini und Copilot, ohne dass Nutzer dies deaktivieren können
  • Die Datenerfassung läuft dauerhaft im Hintergrund, unabhängig von der VPN-Funktion; alle Prompts, Antworten, Zeitstempel und Sitzungsinformationen werden übertragen
  • Der Betreiber Urban Cyber Security Inc. und das verbundene Unternehmen BiScience verkaufen diese Daten an Dritte für Marketinganalysen
  • Erweiterungen, die die „Featured“-Prüfung von Google und Microsoft bestanden hatten, waren monatelang im Umlauf und offenbaren Schwachstellen in den Schutzmechanismen für Nutzer

Entdeckung

  • Koi suchte mit seiner Wings AI Risk Engine nach Browser-Erweiterungen, die Daten aus KI-Gesprächen an externe Stellen übertragen können, und stellte dabei fest, dass überraschenderweise Urban VPN Proxy mit seiner großen Nutzerbasis weit oben erschien
  • Urban VPN Proxy ist eine kostenlose VPN-Erweiterung mit mehr als 6 Millionen Nutzern, einer Bewertung von 4,7 und dem Google-„Featured“-Badge und wirbt mit Datenschutz
  • Die Untersuchung ergab, dass diese Erweiterung mit standardmäßig aktivierter Abhörfunktion für Gespräche auf KI-Plattformen ausgeliefert wurde

Art der Erfassung

  • Die Erweiterung sammelt Daten dauerhaft unabhängig davon, ob eine VPN-Verbindung besteht
  • Wenn Nutzer KI-Websites wie ChatGPT, Claude oder Gemini aufrufen, werden spezielle Skripte (chatgpt.js, claude.js usw.) injiziert
  • Diese Skripte überschreiben fetch() und XMLHttpRequest, fangen alle Netzwerkanfragen und -antworten ab und extrahieren Prompts, Antworten, Gesprächs-IDs und Zeitstempel
  • Die extrahierten Daten werden über window.postMessage an ein Content-Skript übergeben, danach sendet ein Background-Worker sie an Urban-VPN-Server (analytics.urban-vpn.com usw.)
  • Zu den gesammelten Daten gehören sämtliche Ein- und Ausgaben, Sitzungsmetadaten und Informationen zum verwendeten Modell

Versions-Zeitleiste

  • Versionen vor 5.5.0 enthalten keine KI-Erfassungsfunktion
  • Ab Version 5.5.0, veröffentlicht am 9. Juli 2025, war die Erfassung von KI-Gesprächen standardmäßig aktiviert
  • Durch spätere automatische Updates wurde der Code zur Datenerfassung auch bei bestehenden Nutzern ohne gesonderte Zustimmung hinzugefügt
  • Wer seit Juli 2025 mit installiertem Urban VPN KI-Dienste genutzt hat, muss davon ausgehen, dass Gesprächsinhalte auf Servern gespeichert und mit Dritten geteilt wurden

Die Realität der „AI Protection“-Funktion

  • In der Beschreibung der Erweiterung steht, die „AI Protection“-Funktion verhindere das Durchsickern persönlicher Daten und warne vor riskanten Links
  • Die Analyse des tatsächlichen Codes zeigte jedoch, dass Warnfunktion und Datenerfassung getrennt arbeiten; auch bei deaktivierter Warnfunktion läuft die Erfassung weiter
  • Die Erweiterung warnt Nutzer davor, E-Mail-Adresse oder Telefonnummer zu teilen, überträgt diese Daten aber gleichzeitig an die Urban-VPN-Server
  • Damit wurde eine als Schutz getarnte Struktur zur Datenextraktion festgestellt

Verbreitung desselben Codes

  • Derselbe KI-Erfassungscode wurde auch in 7 weiteren Erweiterungen gefunden
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: dieselben 4 Varianten
  • Betroffen sind insgesamt mehr als 8 Millionen Nutzer
  • Diese Erweiterungen tarnen sich als unterschiedliche Kategorien wie VPN, Werbeblocker oder Sicherheitshelfer, teilen jedoch dasselbe Überwachungs-Backend
  • Die meisten trugen ein „Featured“-Badge in den Stores von Google oder Microsoft und wurden so mit hohem Nutzervertrauen verbreitet

Betreiber und Datenfluss

  • Urban VPN wird von Urban Cyber Security Inc. betrieben und ist mit dem Datenbroker BiScience (B.I Science Ltd.) verbunden
  • BiScience war bereits in der Vergangenheit Sicherheitsforschern durch das Sammeln und den Weiterverkauf von Clickstream-Daten aufgefallen
  • BiScience vermarktet die gesammelten Daten über Produkte wie AdClarity und Clickstream OS
  • Der vorliegende Fall ist eine Ausweitung von der Sammlung des Browserverlaufs auf die Sammlung von KI-Gesprächen
  • In der Datenschutzerklärung heißt es, dass „gesammelte Web-Browsing-Daten mit BiScience geteilt und für kommerzielle Insights genutzt werden“

Problematische Nutzerinformation

  • Im bei der Installation angezeigten Zustimmungs-Popup wird zwar die „Verarbeitung von ChatAI-Kommunikation“ erwähnt, der Zweck der Erfassung von KI-Gesprächen wird jedoch nicht klar erläutert
  • In der Datenschutzrichtlinie findet sich hingegen die Aussage, dass KI-Eingabe- und -Ausgabedaten für Marketinganalysen offengelegt werden
  • In der Beschreibung im Chrome Web Store steht dagegen, „Daten würden nicht an Dritte verkauft“, was widersprüchliche Informationen darstellt
  • Bei Installationen vor Juli 2025 wurde die Erfassungsfunktion per automatischem Update hinzugefügt, ohne dass Nutzer ein neues Zustimmungs-Popup sahen
  • Nutzer haben keine Möglichkeit, nur die KI-Erfassung zu deaktivieren; selbst wenn VPN oder Schutzfunktion ausgeschaltet werden, läuft die Erfassung weiter

Problem bei Googles Prüfung

  • Urban VPN Proxy trägt das „Featured“-Badge des Google Chrome Web Store
  • Google erklärt, dieses Badge werde an Erweiterungen vergeben, die technische Best Practices und hohe Standards bei der Nutzererfahrung erfüllen
  • Das bedeutet, dass Code zur Erfassung von KI-Gesprächen enthalten war, obwohl die Erweiterung die manuelle Prüfung von Google bestanden hatte
  • Die Richtlinien des Chrome Web Store verbieten die Übertragung von Nutzerdaten an Datenbroker oder Werbeplattformen, während BiScience sich selbst als Datenbroker bezeichnet
  • Trotzdem ist die Erweiterung weiterhin im Store gelistet

Fazit und Empfehlung

  • Browser-Erweiterungen erfordern wegen ihrer weitreichenden Berechtigungen und automatischen Update-Funktion ein hohes Maß an Vertrauen
  • Dieser Fall zeigt, dass sensible KI-Gesprächsdaten im Umfang von 8 Millionen Nutzern unter dem Vorwand von „Sicherheit“ gesammelt und verkauft wurden
  • Die Prüfmechanismen von Google und Microsoft werden als ein Beispiel kritisiert, bei dem sie eher zu einer Scheinsicherheit als zum Schutz der Nutzer beigetragen haben
  • Nutzer sollten Urban VPN und verwandte Erweiterungen sofort entfernen und berücksichtigen, dass KI-Gespräche seit Juli 2025 mit Dritten geteilt worden sein könnten

IOC (Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-17
Hacker-News-Kommentare

  • Ich verwende nur von Mozilla empfohlene Erweiterungen
    Dieses Programm umfasst nur Erweiterungen, deren Code direkt von Mozillas Sicherheitsexperten geprüft wurde
    Google möchte offenbar keine Leute dafür einstellen, aber in so einem Bereich braucht es menschliche Augen statt nur automatischer Scans
    Mozilla Recommended Extensions Program

    • IT-Profis oder Power-User können solche Maßnahmen ergreifen, aber normale Nutzer lassen sich leicht von auffälligen Funktionsbeschreibungen täuschen und installieren dann bösartige Erweiterungen
      Social-Engineering-Angriffe lassen sich nicht allein mit technischen Mitteln verhindern; am Ende steigt entweder das Sicherheitsbewusstsein normaler Nutzer, oder es besteht die Gefahr, dass Computergeräte immer geschlossener werden
    • Wenn man gründlicher sein will, kann man auch die XPI-Datei selbst entpacken und den Code prüfen
      Wenn eine Erweiterung mit einfacher Funktion übermäßig komplexen Code hat, sollte man misstrauisch werden
      Sobald eine Erweiterung zu einem geschlossenen Blob wird, ist es Zeit zu fliehen
    • Ich frage mich allerdings, ob Mozilla wirklich jedes Update erneut prüft
      Wenn nur einmal geprüft wird und später über Updates bösartige Funktionen hinzukommen können, während das „Empfohlen“-Abzeichen bleibt, ist das riskant
    • Die meisten Codebasen umfassen Hunderttausende oder Millionen Zeilen, daher ist manuelle Prüfung praktisch unmöglich
      Wenn etwas aus Sprachen wie TypeScript kompiliert wurde, ist die Verifikation selbst mit den Quellen wegen des komplexen Build-Prozesses schwierig
      Schadcode steckt sicher nicht in main.ts, sondern vermutlich irgendwo tief in einer Bibliothekskette
    • Interessanterweise heißt es im Artikel, dass diese Erweiterung tatsächlich das „Featured“-Abzeichen nach manueller Prüfung erhalten hatte

  • Hinter dieser Erweiterung steht offenbar Urban Cyber Security Inc., was wie eine echte, in Delaware registrierte Firma aussieht
    Sogar Adresse und Telefonnummer sind öffentlich
    Firmeninfo, offizielle Website, Geschäftsregistrierung
    Oberflächlich wirkt das sehr legitim, daher könnten auch sie am Ende Opfer sein

    • Aber nur nach solchen Äußerlichkeiten Legitimität zu beurteilen, ist gefährlich
      Für ein paar Hundert Dollar kann man so eine Firma aufsetzen, und mit einer virtuellen Büroadresse und einer einfachen Website wirkt das schon glaubwürdig genug
      Informationen aus dem Internet sollte man immer hinterfragen
    • Auf Manhattan Virtual Office sieht man, dass die New Yorker Adresse ein virtuelles Büro ist,
      und die Delaware-Adresse von The Mill Space ist ebenfalls ein Coworking-Space
    • Tatsächlich ist Urban VPN mit BiScience, einem Datenbroker, verbunden
      Dieses Unternehmen war in der Vergangenheit bereits wegen der Sammlung von Clickstream-Daten von Nutzern Forschern aufgefallen
      Dieselbe Datensammelfunktion wurde in mehreren Erweiterungen gefunden, und dass es sich um einen kostenlosen Dienst handelt, macht es noch verdächtiger
      Das erinnert an den Spruch: „Einmal ist Zufall, zweimal ist Koinzidenz, dreimal ist Feindseligkeit“
    • Eine US-Adresse und Telefonnummer zu registrieren kostet nur 15 Dollar im Monat, und eine Firmengründung bekommt man für ein paar Hundert Dollar hin
    • Die Adresse des Registered Agent ähnelt der einer echten Kanzlei, stimmt aber nicht exakt überein
      Referenzlink

  • Ich war überrascht zu sehen, dass Googles Prüfungsteam die Hälfte meiner Erweiterung abgelehnt hat
    Die Uber-Driver-App muss Hintergrund-Standortzugriff immer erlaubt bekommen, und in den Einstellungen gibt es keine Möglichkeit, das zu ändern
    zugehöriger Forenbeitrag

    • Wenn es Google wirklich ernst mit dem Schutz der Nutzer wäre, hätte man bei Apps wie WhatsApp die ständigen Anfragen nach Mikrofonberechtigungen unterbinden müssen
      Ausgerechnet Meta-Apps ignorieren die Option „Jedes Mal fragen“
      Google scheint sich mehr um Werbekunden als um Nutzer zu kümmern
    • Vermutlich liegt es daran, dass die Berechtigung „While using“ auch Hintergrundnavigation einschließt
      Das wird in Apples Entwicklerdokumentation erklärt
    • Es gibt auch Fälle, in denen die Trennung von App-Berechtigungen unscharf ist
      Zum Beispiel wird Zugriff auf Standortdaten verlangt, obwohl eigentlich nur eine Bluetooth-Verbindung nötig ist

  • Das Berechtigungsmodell von Browser-Erweiterungen ist grundsätzlich falsch
    Bei der Installation werden alle Berechtigungen auf einmal gewährt, und später weiß niemand, was bei Updates passiert
    Wie bei iOS braucht es Laufzeit-Berechtigungsanfragen
    Ein „Recommended“-Abzeichen ist nur ein Notbehelf, und Erweiterungen, die „Daten auf allen Websites lesen/ändern“ dürfen müssen, sollten von vornherein nicht existieren

    • Derzeit kann man nur zwischen einer einzelnen Website oder allen Websites wählen, das ist viel zu extrem
      Selbst Erweiterungen, die nur auf einigen Seiten arbeiten, verlangen Zugriff auf alle Websites
      Bis 2025 braucht es meiner Meinung nach ein feiner abgestuftes sandboxbasiertes Berechtigungsmodell

  • Ich war verblüfft über den Satz: „Vor ein paar Wochen habe ich Claude geöffnet, als ich eine wichtige Lebensentscheidung treffen musste“
    Offenbar leben wir wirklich in so einer Zeit

    • Früher hat man Entscheidungen per Los getroffen, heute überlässt man sie einem Prädiktor ohne Verständnisvermögen
      Menschen verlassen sich immer stärker auf KI, um das Chaos des Denkens zu vermeiden
    • Manche Menschen können ihre Gedanken nur ordnen, wenn sie sie aufschreiben
      In diesem Sinn könnte man sagen, dass ihr Gehirn wie ein LLM arbeitet
    • Für mich fühlt es sich verrückt an, Entscheidungen an KI auszulagern
      Ich habe Claude zweimal benutzt und fand es nicht besonders hilfreich
      Höchstens die KI-Zusammenfassungen von DuckDuckGo nutze ich gelegentlich
    • Laut einer HBR-Untersuchung ist der häufigste Anwendungsfall von ChatGPT „Therapie/Gesprächspartner“
      Quelle
    • Lebensentscheidungen an KI abzugeben ist töricht, aber als Werkzeug, um Gedanken zu ordnen und Fragen zu formulieren, ist sie nützlich

  • Ich habe die Tracking-Praktiken von BiScience früher direkt gesehen, daher überrascht mich der aktuelle Fall nicht
    Das wurde schon beim früheren Hack des Cyberhaven-Add-ons erwähnt
    zugehöriger Blog 1, zugehöriger Blog 2

  • Ich verstehe nicht, warum so viele Leute kostenlosen VPNs vertrauen
    „Gebt uns euren gesamten Traffic, wir sind kostenlos“ – für mich absolut ausgeschlossen

    • ISPs liefern auf staatliche Anfrage hin sämtliche Verbindungsdaten, aber ein VPN wie Mullvad arbeitet ohne KYC, sodass selbst bei einem Durchsuchungsbeschluss keine Kundendaten offengelegt wurden
      entsprechender Fall
    • Auch der ISP verarbeitet den gesamten Traffic, also ist das im Grunde nicht anders als bei einem VPN
      Genau dafür gibt es TLS
      Man sollte grundsätzlich davon ausgehen, dass Internetverkehr mitgelesen wird
    • In manchen einkommensschwachen Ländern bleibt wegen Zugangsbeschränkungen nichts anderes übrig als ein kostenloses VPN
      Aber persönlich vertraue ich außer Mullvad/IVPN/ProtonVPN keinem
    • Die meisten nutzen kostenlose VPNs schlicht, um gesperrte Inhalte anzusehen (Torrents, Pornografie, Glücksspiel usw.)
      Solche Leute suchen einfach nach „kostenloses VPN“ und installieren sofort irgendetwas, um langfristige Verträge zu vermeiden
      Eigentlich ähnelt dieses Verhalten auch dem Missbrauch von Erweiterungen
    • Immerhin werden dank TLS nicht gleich Bankdaten abgegriffen

  • Google sollte solche Erweiterungen gründlicher prüfen und entfernen
    Vertrauenswürdigkeit ist entscheidend, und Erweiterungen wie LastPass oder Ward haben tatsächlich einen Wert
    Es braucht ein System wie ein öffentliches Sicherheitsverzeichnis für Erweiterungen

    • Ich bezweifle allerdings, dass man solche Probleme per Code-Review erfassen kann
      Wenn eine Erweiterung sich als „KI-Schutztool“ ausgibt und Daten sammelt, ist das funktional immerhin konsistent
      Das Problem liegt nicht im Code, sondern in den Richtlinien und der Datennutzung
    • Rein automatisierte Prüfungen haben klare Grenzen
      Ab einer gewissen Installationszahl sollte eine Prüfung durch Menschen erfolgen, aber Google bevorzugt solche Verfahren offenbar nicht
    • Ich frage mich ohnehin, ob Google tatsächlich Code-Reviews durchführt
    • Aus einem Code-Review lässt sich nicht erkennen, was später mit den Gesprächsdaten der Nutzer passiert

  • Ich hatte gehört, dass Manifest V3 Chrome-Erweiterungen sicherer macht, aber ich bezweifle, dass das wirklich so ist

    • Trotzdem hat Manifest V3 immerhin dafür gesorgt, dass der Code innerhalb der Erweiterung enthalten sein muss und das Nachladen externer Skripte verhindert wurde
      Früher war so etwas nicht nachweisbar
    • Am Ende landet man aber wieder bei der Frage: „Wie verdienen die eigentlich Geld?“

  • In diesem Fall wurde kein System gehackt, sondern es war von Anfang an eine betrügerische Erweiterung
    Früher habe ich mit Greasemonkey gern Anpassungen vorgenommen, heute vertraue ich nur noch Open-Source-Erweiterungen wie Privacy Badger und Ublock Origin
    Trotzdem bleibt ein Risiko bestehen