1. Weitere Datenschleuder?
Gerade habe ich die Meldung auf heise.de entdeckt, dass auch das Addon ProxTube die Surf-Historie ausleitet.
Ein Kurztest mit der Version 2.3.5 von ProxTube von der offiziellen Firefox-Addon Seite belegt Folgendes:
#1 Übermittlung:
GET /config?json=true&version=2.3.5&browser=firefox&locale=de&monetization=false HTTP/1.1 Host: loadbalancer-api.herokuapp.com User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Connection: close
Es wird die Versionsnummer des Addons, der verwendete Browser, das Land und ein Parameter »monetization=false« (dazu später mehr) übermittelt.
#2 Übermittlung:
GET /get-proxy/?domain=www.nbc.com HTTP/1.1 Host: loadbalancer-api.herokuapp.com User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Connection: close Upgrade-Insecure-Requests: 1
#2 Antwort vom Server:
HTTP/1.1 200 OK
Server: Cowboy
Connection: close
Cache-Control: public, max-age=35578
Expires: Sat, 19 Nov 2016 00:00:00 GMT
Date: Fri, 18 Nov 2016 14:07:01 GMT
Via: 1.1 vegur
Content-Length: 333
<!DOCTYPE html><html><head><title>loadbalancer proxy</title></head><script>window.addEventListener('message', function (event) {if (event.data !== 'getResponse') { return; }; event.source.postMessage(JSON.stringify({loadbalancer: {response: {"proxy":{"ip":"64.251.10.192","port":3131}}}}),'*');},false);</script><body></body></html>
Beim Aufruf von youtube.com, Pandora, nbc.com oder Fox.com übermittelt das Addon die Domain und bekommt als Antwort eine Proxy-IP Adresse inklusive Port übermittelt, über den anschließend der Inhalt (Video oder Audio) übertragen wird.
Ansonsten werden beim herkömmlichen Surfen im Internet nach meiner Beobachtung keine URLs übermittelt – jedenfalls in der Standardkonfiguration. Aktiviert der Nutzer unter Einstellungen die Option:
ProxTube erlauben einen Preisvergleich anzuzeigen: Mit dieser Option kriegst du automatisch beim Onlineshoppen günstigere Preise angezeigt. Damit sparst du bares Geld und wir können dadurch unsere Server finanzieren.
sieht das anders aus. Dann wird der Parameter monetization auf »true« gesetzt und auf diversen Shopping-Seiten werden die URLs vom Browser übermittelt:
# 3 Übermittlung
GET /infoframe/1002/ffv8/amazon.de/ HTTP/1.1 Host: client.foxydeal.com User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Referer: https://www.amazon.de/Mobil-New-Life-Motor%C3%B6l-0W-40/dp/B004RG39GA/ref=br_asw_pdt-2?pf_rd_m=A3JWKAKR8XB7XF&pf_rd_s=&pf_rd_r=ZEWNHCR1KNGP0HDVR2TT&pf_rd_t=36701&pf_rd_p=8a14510d-4bfe-4909-a87f-fa63c7be2a42&pf_rd_i=desktop Connection: close Upgrade-Insecure-Requests: 1
Ich habe mal auf amazon.de auf Mobil1-Motoröl geklickt…. Und siehe da, die URL wird übertragen. Die Funktion muss der Nutzer in Version 2.3.5 allerdings selbst aktivieren, also ein Opt-In. Übrigens: In der Datenschutzerklärung von ProxTube wird dies ebenfalls erläutert – allerdings kam bei mir kein Hinweis, sondern die »Spar-Funktion« war deaktiviert.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2. Fazit
In der Standardkonfiguration und einem Schnelltest konnte ich nicht feststellen, dass ProxTube die besuchten URLs überträgt. Aktiviert der Nutzer hingegen die Option »ProxTube erlauben einen Preisvergleich anzuzeigen« werden auf diversen Shopping-Seiten die URLs vom Browser übermittelt.
Ich behalte das Addon mal für einen Langzeittest in meiner Analyse-Umgebung und werde den Beitrag dann entsprechend aktualisieren.
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
Firefox: about:config | user.js – Firefox-Kompendium Teil10
Firefox: Smart Referer – Firefox-Kompendium Teil6
10 Ergänzungen zu “Quick-Check: ProxTube Addon”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Super!
Auch die technische Ausführlichkeit ist nett, so werde ich vielleicht bald mal selbst im Quelltext fündig werden!
Wichtiger wären mir persönlich natürlich ein Test von RequestPolicy und NoScript!
An sich gut überprüft, ich denke der Grund, weshalb du nicht richtig fündig wurdest ist der folgende: Dirk von Gehlen schreibt der Anbieter sei eine Firma aus der Schweiz, ein bisschen Recherche zeigt dies war nur bis vor ein paar Monaten der Fall, mittlerweile ist es laut Impressum die „Proxy Unlimited Ltd.“. Meine Vermutung: Das Tracking ist mit dem neuen Anbieter verschwunden. Möglicherweise betraf es auch nur die Versionen die nicht über die Stores vertrieben wurden, Mozilla und Google haben da ja grundsätzlich auch ein Auge drauf.
Ich habe Dirk nach seiner Version gefragt. Die würde ich mir anschauen. Ansonsten: Ja Mozilla und Google hat in den Stores ein Auge drauf – das hat aber bei WOT nicht funktioniert.
Mozilla hat eine schöne Historie, vielleicht wirst du da ja fündig: https://addons.mozilla.org/de/firefox/addon/proxtube/versions/
Vielen Dank für die Überprüfung! Ich bin beim Ausmisten meiner Firefox Add-ons auf „Fasterfox Lite 3.9.9“ gestoßen, dessen Datenschutzerklärung mich beunruhigt:
„The Wips.com extensions sends anonymous statistics about specific type of websites. None of this information is personally identifiable.“
Was wird da genau übertragen und was ist die Behauptung „None of this information is personally identifiable.“ wert?
Ein Opt-Out ist möglich (standardmäßig ist das Daten absaugen aber aktiviert). Da diese Funktion vermutlich erst später zu dem Add-on hinzugefügt wurde, hat es mich kalt erwischt.
Wips.com scheint noch diverse andere Browser Erweiterungen im Angebot zu haben (Firefox und Chrome), laut ihrer Website ist die Verbreitung enorm.
Vielleicht auch einmal einen näheren Blick wert?
Ein Proxy für die GEMA-Sperre bei Youtube ist seit dem 01.11.16 eh hinfällig:
„Am 1. November 2016 verkündete YouTube, sie habe sich mit GEMA geeinigt. Die zukünftigen Lizenzierungsabgaben und Abgeltungen rückwirkend bis 2009 wurden vereinbart und die Sperre von Musikvideos mit Musik der von der GEMA vertretenen Musiker aufgehoben.“
https://de.wikipedia.org/wiki/YouTube#Auseinandersetzungen_mit_der_GEMA
https://www.zeit.de/digital/internet/2016-11/urheberrecht-gema-youtube-einigung
Mich persönlich würde zum Beispiel das hier sehr interessieren:
https://addons.mozilla.org/de/firefox/addon/video-downloadhelper/
Ich kann mich erinnern, dass man Cookies und Social Media Funktionen aktiv ausschalten muss.
Und auch erinnere ich mich an eine Meldung von irgendwann, die lautete sinngemäß:
„Sie haben jetzt Ihr 100. Video runtergeladen, wollen Sie vielleicht etwas spenden?“
Oder gibt es noch einen besseren Weg, Streaming-Dateien als Datei zu speichern, ohne ein Addon zu verwenden?
Firefox-Addons: Ist dieses Plugin sicher!?
Ein bischen hysterisch wirds aber schon….zumal die Überschrift bei Heise klar vernichtend ist, letztlich aber nichts mehr übrig als ein gesuchter Verdacht.
Den Preisvergleich muss ich allerdings aktiv selber setzen….ist sowieso nicht voreingestellt und dazu ich mich aktiv zu den Einstellungen bewegen.
Dazu kommt: Logisch das bei einem Preisvergleich die URL mitgegeben wird an die vergleichenden Portale wie Amazon etc….
Das ist allerdings was gänzlich anderes als eine Browser Historie…
Dirk von Gehlen war ja in Euren Datensätzen enthalten….Nun hatte der kein WOT als Addon geladen….also wird mal eben Proxtube unter Verdacht gesetzt.
Das ist alles nicht solide…und macht die ganze NDR Recherche hinsichtlich der Addons unglaubwürdig.
Nö – das macht die Recherche nicht unglaubwürdig. Ich glaube du vermischt hier gerade etwas. Das ProxTube Daten ausleitet, diese Behauptung wurde nicht vom NDR aufgestellt. Und das heise reißerische Überschriften bringt, ohne den Vorfall zu prüfen – das ist nochmal eine ganz andere Geschichte.