Firefox: Web Security Addon versendet sensible Surf-Daten

Ein Teilnehmer im Kuketz-Forum hat sich das Firefox-Addon Web Security nach meiner Warnung genauer angeschaut. Ergebnis:

Die Entschlüsselungsfunktion befindet sich in der Datei include/background.js.
Das Beispiel aus dem Microblog sendet verschlüsselt die folgenden Daten:

 <id|35237841|id><hash|1|hash><app|web_security|app><agent|FF|agent><app_data|;<oldUrl;|http://blog.fefe.de/;|oldUrl;>;<newUrl;|https://www.kuketz-blog.de/;|newUrl;>;<oldHost;|blog.fefe.de;|oldHost;>;<newHost;|www.kuketz-blog.de;|newHost;>;<hash;|67918192;|hash;>;<language;|de;|language;>|app_data>

Es werden demnach die besuchte URL, als auch die davor besuchte Domain übermittelt. Und da dies auch noch unverschlüsselt (ohne HTTPS bzw. TLS) geschieht kann praktisch jeder den Traffic mitschneiden und in die Ursprungsform überführen. Als Sahnehäupchen wird auch noch eine (eindeutige) ID übermittelt, die man vermutlich einem User zuordnen kann.

Security / Privacy fuck yeah! Bitte alle mal deinstallieren und Mozilla sollte wirklich beginnen Addons sauber zu prüfen – dieses wurde sogar von Mozilla offiziell empfohlen! Der Link und die Empfehlung sind mittlerweile wie von Geisterhand aus dem Mozilla Blog-Beitrag verschwunden…

Hinweis: Jedes Security-Addon, das nicht mit lokalen Datenbanken arbeitet, würde ich nicht nutzen wollen. Das zeigt mir jedenfalls meine Erfahrung mit dem Addon Web oft Trust bzw. der Datenskandal Nackt im Netz.

Update: Mozilla hat reagiert und diverse Addons blockiert bzw. lässt diese prüfen. Das Internet ist wieder etwas sicherer geworden. ;-)

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡