287 Chrome-Erweiterungen entdeckt, die Browsing-Daten von Nutzern sammeln

 (qcontinuum.substack.com)
4 Punkte von GN⁺ 2026-02-12 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Über eine automatisierte MITM-basierte Scan-Pipeline (Man-in-the-Middle) wurde erkannt, dass 287 Chrome-Erweiterungen den Browserverlauf von Nutzern an externe Ziele übertragen
  • Diese Erweiterungen wurden insgesamt rund 37,4 Millionen Mal installiert, was etwa 1 % aller Chrome-Nutzer weltweit entspricht
  • An den Datenabflüssen sind große Datenbroker wie Similarweb, Curly Doggo, Offidocs, Big Star Labs sowie zahlreiche kleinere Anbieter beteiligt
  • Die Analyse zeigt, dass einige Erweiterungen Verschleierung und Übertragung von URL-Daten mit Verfahren wie ROT47, AES‑256, LZ-string umsetzen
  • Über eine bloße Verletzung der Privatsphäre hinaus handelt es sich um eine ernsthafte Bedrohung, die zu Sicherheitsrisiken wie der Offenlegung interner Unternehmensnetze und Admin-Konsole-URLs führen kann

Aufbau einer automatisierten Scan-Pipeline

  • Das Forschungsteam baute ein automatisiertes System, das einen Chrome-Browser in einer Docker-Umgebung mit einem MITM-Proxy umschließt und die Korrelation des ausgehenden Datenverkehrs mit der URL-Länge misst
    • Steigt das Übertragungsvolumen proportional zur URL-Länge, wird die betreffende Erweiterung als Kandidat eingestuft, der URLs extern überträgt
  • Der Scan erfolgte in zwei Phasen und erforderte insgesamt 930 CPU-Tage
    • Zunächst wurden 4 URL-Längen getestet; wurde ein verdächtiges Verhältnis (0.1 ≤ R < 1.0) erkannt, erfolgte eine erneute Prüfung mit 6 zusätzlichen Längen

Erkennung und Analyse von Datenabflüssen

  • Es wurde bestätigt, dass 287 Erweiterungen den Browserverlauf an externe Server übertragen
  • Die Gesamtzahl der Installationen dieser Erweiterungen liegt bei rund 37,4 Millionen, also ungefähr 1 % aller Chrome-Nutzer weltweit
  • Die abgeflossenen Daten werden an Similarweb, Curly Doggo, Offidocs, Big Star Labs und weitere Ziele übertragen; ein Teil wird über den Kontera-Scraper erneut eingesammelt
  • Beim Betrieb eines Honeypot-Servers zur Nachverfolgung tatsächlicher Datensammler-IP-Adressen griffen 5 große IP-Bereiche wie HashDit, Blocksi AI Web Filter und Kontera wiederholt zu

Zentrale Akteure und Verbindungen

  • Mittels OSINT-Analyse wurden Entwickler-E-Mails, Datenschutzerklärungen und Zertifikatsinformationen der einzelnen Erweiterungen untersucht
  • Es wurde bestätigt, dass die Similarweb-Erweiterung „Similar Sites“ mit dem Kontera-Scraper sowie Curly Doggo und Offidocs verbunden ist
  • Big Star Labs teilt dieselben Code-Muster wie Similarweb und dürfte mit hoher Wahrscheinlichkeit zur selben Organisation gehören

Repräsentative Fälle von Datenabfluss

  • Poper Blocker: verschleiert URLs mit ROT47 und sendet sie an api2.poperblocker.com
  • Stylish: verschlüsselt URLs mit AES‑256 und RSA-Public-Key-Verschlüsselung und sendet sie an userstylesapi.com
  • BlockSite und Video Ad Blocker Plus: übertragen URLs mit LZ-string-UTF16-Kompression und verwenden dasselbe Datenschema
  • Similarweb: überträgt mehrfach URL-kodierte Browsing-Daten an rank.similarweb.com
  • WOT (Web of Trust): verschlüsselt URLs mit einer XOR-basierten benutzerdefinierten Kodierung; die Struktur entspricht der von Similarweb
  • Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP und weitere übertragen Daten jeweils über URL-Parameter, Header, die Google Analytics API usw.

Ausmaß und Auswirkungen der Bedrohung

  • Betroffen sind rund 37,4 Millionen Nutzer, also etwa so viele Menschen wie die Bevölkerung Polens
  • Einige Erweiterungen benötigen funktionsbedingt möglicherweise Zugriff auf den Browserverlauf, viele sammeln Daten jedoch ohne ausdrückliche Zustimmung
  • Die abgeflossenen Daten können für Ad-Targeting, Unternehmensspionage und Session-Hijacking missbraucht werden
    • Besonders in Unternehmensumgebungen besteht für Mitarbeiter, die Erweiterungen zur „Produktivitätssteigerung“ nutzen, das Risiko der Offenlegung interner URLs

Fazit und Warnung

  • Viele der analysierten Erweiterungen verwendeten absichtliche Verschlüsselungs- und Verschleierungstechniken, um einer Erkennung zu entgehen
  • Dies wirkt nicht wie ein bloßer Bug, sondern wie ein Geschäftsmodell auf Basis von Datensammlung
  • Es sollte daran erinnert werden, dass Nutzer bei kostenloser, aber nicht Open-Source-Software selbst zum „Produkt“ werden können
  • Bei der Installation von Chrome-Erweiterungen sind eine Prüfung der Berechtigungen und Kontrolle der Herkunft unverzichtbar

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.