LinkedIn scannt Browser-Erweiterungen

 (404privacy.com)
1 Punkte von GN⁺ 1 시간 전 | Noch keine Kommentare. | Auf WhatsApp teilen
  • LinkedIn sendet in Chrome Anfragen an chrome-extension://-URLs, um zu prüfen, ob bestimmte Erweiterungen installiert sind; nicht installierte Einträge hinterlassen im Entwicklerkonsolen-Log Fehler zu fehlgeschlagenen Anfragen
  • Laut den Aufzeichnungen von browsergate.eu und dem GitHub-Tracking-Repository läuft der Scan mindestens seit 2017; die Zielliste wuchs von 38 auf 6.278 Einträge mit Stand April 2026
  • Da LinkedIn bereits Name, Arbeitgeber, Berufsbezeichnung, Berufserfahrung und Standort der Nutzer kennt, ergänzt das Scannen von Erweiterungen keinen anonymen Geräte-Fingerabdruck, sondern eine Softwareliste zu einer verifizierten beruflichen Identität
  • Der Scan ist Teil von LinkedIns APFC-System zur Geräte-Fingerprinting-Erfassung und erstellt zusammen mit 48 Browser- und Gerätemerkmalen wie Canvas-Fingerprint, WebGL, Audioverhalten, Schriftarten, Bildschirminformationen, Gerätespeicher und lokaler WebRTC-IP ein Profil
  • Erkennungsergebnisse werden als AedEvent und SpectroscopyEvent verpackt, mit einem öffentlichen RSA-Schlüssel verschlüsselt und an LinkedIns Endpunkt li/track gesendet; browsergate.eu erklärt, diese Praxis stelle einen Verstoß gegen den EU Digital Markets Act dar und habe eine strafrechtliche Untersuchung ausgelöst

Eine Softwareliste an einem persönlich identifizierbaren Profil

  • Gewöhnliches Fingerprinting wird meist als Methode behandelt, um den Browser anonymer Besucher ohne Cookies wiederzuerkennen
  • In diesem Fall kann das Profil auf Geräteebene identifizierbar sein, ist aber nicht zwingend mit einer persönlichen Identität verknüpft
  • LinkedIn besitzt jedoch bereits Name, Arbeitgeber, Berufsbezeichnung, Berufserfahrung, Gehaltsspanne, berufliches Netzwerk und Standort der Nutzer
  • LinkedIns Erweiterungs-Scan erstellt daher nicht das Geräteprofil eines unbekannten Besuchers, sondern hängt einer bereits verifizierten beruflichen Identität eine detaillierte Softwareliste an
  • LinkedIns Scanliste enthält Hunderte Erweiterungen rund um die Jobsuche und kann damit erkennen, ob jemand still nach einer neuen Stelle sucht, bevor der Arbeitgeber davon erfährt
  • Auch Erweiterungen zu politischen Inhalten, religiöser Praxis, Behindertenassistenz und Neurodiversität stehen auf der Liste, sodass Browser-Software Rückschlüsse auf das Privatleben zulassen kann
  • Da LinkedIn den Arbeitsplatz der Nutzer kennt, können die Scan-Ergebnisse eines einzelnen Mitarbeiters nicht nur etwas über die Person, sondern auch über interne Tools, Sicherheitsprodukte, Konkurrenz-Abonnements und Arbeitsabläufe der Organisation verraten
  • In LinkedIns privacy policy wird das Scannen von Erweiterungen nicht offengelegt; Nutzer werden weder um Einwilligung gebeten noch darüber informiert

Das Problem reicht über LinkedIn hinaus

  • Durchsetzung und Präzedenzfälle

    • LinkedIn nutzt die Liste von Erweiterungen, um Rückschlüsse auf Nutzer mit bestimmten installierten Erweiterungen zu ziehen und Maßnahmen gegen sie zu ergreifen
    • Laut browsergate bestätigte Milinda Lakkam unter Eid: “LinkedIn took action against users who had specific extensions installed.”
    • Nutzer haben keine Möglichkeit zu erfahren, dass ihre Software katalogisiert wird, dass diese Liste gegen sie verwendet wird und dass dies nicht in LinkedIns Datenschutzrichtlinie erscheint

  • Das Fingerprinting-Ökosystem

    • Browser-Fingerprinting wird meist als Problem behandelt, bei dem eine einzelne Website Signale sammelt, ein Profil erstellt und Nutzer über Sitzungen hinweg wiedererkennt
    • LinkedIns Erweiterungs-Scan erstellt jedoch eine detaillierte Softwareliste, die mit einer verifizierten Identität verknüpft ist, und dieses Profil muss nicht innerhalb von LinkedIn bleiben
    • Wenn LinkedIn Verhaltensdatensätze von Dritten einkauft und darin der Fingerabdruck eines Nutzers enthalten ist, kann LinkedIn dies an die bereits vorhandenen Nutzerdaten anhängen
    • Navigationsverhalten außerhalb von LinkedIn, Kaufhistorie, Standortmuster und Interessen können so Teil eines mit dem LinkedIn-Konto verknüpften Profils werden
    • Umgekehrt integriert LinkedIn Drittanbieter-Skripte, darunter Googles reCAPTCHA enterprise, das bei jedem Seitenaufruf geladen wird, sodass Daten zwischen Plattformen fließen
    • Ein Fingerabdruck, den LinkedIn mit einer verifizierten Identität verknüpft, kann daher auch Werbe- und Tracking-Systeme außerhalb von linkedin.com beeinflussen
    • Wer sich einmal bei LinkedIn anmeldet, kann einen bei diesem Besuch erzeugten Fingerabdruck potenziell über das gesamte Web mit sich tragen

  • Besonders gefährdete Nutzergruppen

    • Für Journalisten, Anwälte, Forscher und Menschenrechts-Ermittler kann ein LinkedIn-Profil eines der detailliertesten verifizierten Identitätsdokumente im Netz sein
    • Ein LinkedIn-Profil ist bewusst für berufliche Zwecke aufgebaut und an den echten Namen gebunden
    • Der Erweiterungs-Scan verknüpft damit ohne Wissen der Nutzer Installationen von Datenschutz-Tools, Sicherheits-Erweiterungen, Recherchewerkzeugen und Produktivitäts-Apps
    • Wer LinkedIn und Chrome verwendet, ist davon aktuell betroffen

APFC und fortgeschrittenes JavaScript-Fingerprinting

  • Das Scannen von Erweiterungen ist keine isolierte Funktion, sondern Teil eines umfassenderen Geräte-Fingerprinting-Systems, das LinkedIn intern APFC nennt
  • APFC steht für Anti-fraud Platform Features Collection und wird intern auch als DNA, Device Network Analysis, bezeichnet
  • LinkedIn ist bei dieser Form des Trackings offener als beim Erweiterungs-Scan, doch solche Methoden sind auf kommerziellen Websites weit verbreitet
  • Dieses System sammelt bei jedem Besuch 48 Browser- und Gerätemerkmale
  • Dazu gehören Canvas-Fingerprint, WebGL-Renderer und -Parameter, Audioverhalten bei der Verarbeitung, installierte Schriftarten, Bildschirmauflösung, Pixelverhältnis, Hardware-Concurrency, Gerätespeicher, Akkustand, lokale IP-Adressen über WebRTC, Zeitzone und Sprache
  • Der Erweiterungs-Scan ist nur einer der Eingänge, aus denen das größere Profil zusammengesetzt wird

Was technisch passiert

  • LinkedIns Code sendet fetch()-Anfragen an chrome-extension://-URLs, um bestimmte auf Chrome installierte Dateien zu finden
  • Ist eine Erweiterung nicht installiert, blockiert Chrome die Anfrage und protokolliert den Fehlschlag
  • Ist eine Erweiterung installiert, wird die Anfrage unauffällig erfolgreich abgeschlossen und von LinkedIn registriert
  • In einer bestätigten Umgebung lief der Scan etwa 15 Minuten und suchte nach mehr als 6.000 Erweiterungen
  • Nutzer können dies selbst sehen, indem sie LinkedIn in Chrome öffnen und den Reiter „Konsole“ in den Entwicklerwerkzeugen ansehen
  • Jeder rote Fehler in der Konsole entspricht dabei einem Teil des Fingerabdrucks des Nutzers

Code-Struktur und Erkennungsmethode

  • LinkedIn führt im Browser aller Chrome-Besucher JavaScript-Code aus; darin befindet sich auch das System für den Erweiterungs-Scan
  • Die betreffende Datei ist eine minimierte und teilweise verschleierte JavaScript-Datei mit einer Größe von etwa 1,6 MB
  • Gewöhnliche Minimierung komprimiert Code aus Performance-Gründen, Verschleierung ist jedoch ein separater Schritt, um das Lesen und Verstehen des Codes zu erschweren
  • LinkedIn verschleiert das genaue Modul mit dem Erweiterungs-Scan und versteckt es in einer Tausende Zeilen langen JavaScript-Datei
  • In der Datei befindet sich ein hart kodiertes Array mit Browser-Erweiterungs-IDs
  • Mit Stand Februar 2026 enthielt dieses Array 6.278 Einträge
  • Jeder Eintrag hat zwei Felder: eine Erweiterungs-ID aus dem Chrome Web Store und einen spezifischen Dateipfad innerhalb des Erweiterungspakets
  • Der Dateipfad ist kein Zufallswert, denn Chrome-Erweiterungen können über das Feld web_accessible_resources interne Dateien für Webseiten freigeben
  • Ist eine Erweiterung installiert und hat sie eine bestimmte Datei als zugänglich deklariert, ist eine fetch()-Anfrage an chrome-extension://{id}/{file} erfolgreich
  • Ist sie nicht installiert, blockiert Chrome die Anfrage
  • LinkedIn identifiziert für jede der 6.278 Erweiterungen auf der Liste eine gezielt zugängliche Datei und erkennt sie direkt darüber
  • Die Liste wird laufend gepflegt und erweitert; es scheint ein Tool gegeben zu haben, das Pakete aus dem Chrome Web Store crawlt und aus jedem Manifest webzugängliche Ressourcen parst, um neue Erkennungsziele hinzuzufügen

Zwei Scan-Modi und Spectroscopy

  • Der Erweiterungs-Scan arbeitet in zwei Modi
  • Der erste Modus verwendet Promise.allSettled(), um alle Anfragen gleichzeitig zu senden und die gesamte Erweiterungsliste parallel zu prüfen
  • Der zweite Modus sendet die Anfragen nacheinander mit einer konfigurierbaren Verzögerung zwischen den einzelnen Requests, verteilt so die Netzwerkaktivität über die Zeit und macht sie für Monitoring-Tools weniger auffällig
  • LinkedIn kann per internem Feature-Flag zwischen beiden Modi umschalten
  • Der Scan kann außerdem mit requestIdleCallback verzögert werden, sodass er läuft, wenn der Browser Leerlauf hat und Nutzer keinen Performance-Effekt bemerken
  • Ein zweites Erkennungssystem namens Spectroscopy arbeitet unabhängig von der Erweiterungsliste
  • Spectroscopy durchsucht den gesamten DOM-Baum und prüft alle Textknoten sowie Elementattribute auf Verweise auf chrome-extension://-URLs
  • Damit können auch Erweiterungen erkannt werden, die die Seite verändern, selbst wenn sie nicht in LinkedIns hart kodierter Liste stehen
  • Zusammen erfassen beide Systeme sowohl installierte Erweiterungen als auch solche, die tatsächlich mit der Seite interagieren

Übertragung der Telemetrie

  • Beide Erkennungssysteme senden ihre Ergebnisse in dieselbe Telemetrie-Pipeline
  • Erkannte Erweiterungs-IDs werden als AedEvent- und SpectroscopyEvent-Objekte verpackt
  • Diese Objekte werden mit einem öffentlichen RSA-Schlüssel verschlüsselt und an LinkedIns Endpunkt li/track gesendet
  • Der verschlüsselte Fingerabdruck wird anschließend in die HTTP-Header aller API-Anfragen eingefügt, die während der Sitzung erfolgen
  • LinkedIn erhält diesen Wert zusammen mit sämtlichen Aktionen, die ein Nutzer während des Besuchs ausführt

Rechtlicher Kontext

  • browsergate.eu beschreibt die zugehörige rechtliche Argumentation ausführlich
  • 2024 wurde Microsoft nach dem EU Digital Markets Act als Gatekeeper eingestuft, und LinkedIn ist eines der regulierten Produkte
  • Der DMA verlangt von Gatekeepern, dass sie Drittanbieter-Tools Zugriff auf Nutzerdaten ermöglichen, und verbietet Maßnahmen gegen die Nutzer solcher Tools
  • browsergate.eu ist der Ansicht, dass LinkedIn gegen diese Regelung verstößt, indem das Unternehmen Nutzer von Drittanbieter-Tools systematisch sanktioniert und sie über heimliche Erweiterungs-Scans identifiziert
  • Ob diese Argumentation rechtlich Bestand hat, ist eine Frage der juristischen Bewertung
  • Die Cybercrime Unit der Bavarian Central Cybercrime Prosecution Office in Bamberg hat bestätigt, dass eine strafrechtliche Untersuchung eröffnet wurde
  • Diese Behörde bearbeitet schwere Cybercrime-Fälle über Zuständigkeitsgrenzen hinweg
  • browsergate.eu erklärte, die strafrechtliche Untersuchung bestätigt und eine Fallnummer erhalten zu haben; zudem werde die vollständige Gerichtsakte zur Veröffentlichung vorbereitet

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.