Warnung: Web Security Addon für Firefox übermittelt womöglich sensible Daten

Das Firefox-Addon Web Security (mittlerweile von Mozilla entfernt) übersendet beim Besuch einer Domain eine Menge an »Kauderwelsch« über eine unverschlüsselte HTTP-Verbindung:

POST / HTTP/1.1
Host: 136.243.163.73
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 696
DNT: 1
Connection: close

_post=%25%40oz2Vi%26EJ0p_g%3ANMpGb0pC.kR'm9%40%5E%2CIl1%2C)t%24~ae%236c(Ur%3FmR%229F%2BHH.%23%5EcL%60b~NM2_B*)sFy%2C%3Bj%3Fb9G2vc%60%7Cq3()%60W0nYmT%25WI%3BKnXwH%7B%269ew-1%2FloC%2F_%3C%60%7Dzxk%3Fn!%23Q~%2C6XaG!5%2CT%25rj~HC%7D%26PcNu*BuGXtqg%3A-O%7D3NNCr%40%5DWJy3%7Dw5XgmSDaO%2F(H%25gn%7DE_%40%260R0c2m%40n%2Bg%7DX~U~d%2CI0i%5BX(TA%25lFe7~%26yw8%5CjqN8L%2F%60JY%23P%406%3D%40y%40V%3AATA-T%5BM4B%3C%25oClieJ8%3DEHj%3C*pKEd%2F'1%5C'(%22QZH%25%23e2Zd%5BYYaV%7B%7DEjo9%3A%3B%7BL%2F'HweMo%23kTaI%3Dg.Bkv%26m%3FDr7UST%3D%7B%2FL3E8W%3Bti%7B%60%5BwAQ%5DJ%5B%3D7nUCr%7B%3D6K-uf9QWvEQ0%5BI%22!%3BM*%5B%7Bfq%7BFsQ)5%2Bd%3Am*VX0%22i%24%5DH%7D%22t%3EKx6%7C!%24Jx_%3A%3E%2Cbhyp%3D.%7DP(H%5DRaD3XFm!WG!w%3EY6

Im Beispiel habe ich die URL vom Kuketz-Blog (https://www.kuketz-blog.de) aufgerufen. Was mir an dieser Übermittlung nun nicht gefällt:

  • Die Übermittlung findet über einen unverschlüsselten Kanal statt
  • Sie erfolgt bei jedem Domainaufruf bzw. Wechsel
  • Auch dem Entwickler von uBlock Origin (gorhill) ist dies bereits negativ aufgefallen
  • Ähnlich wie beim Datenskandal um das Addon »Web of Trust« wird die Übermittlung der Daten »verschleiert«
  • Die Daten werden an die IP-Adresse »136.243.163.73« übermittelt – einem Hetzner-Server in Deutschland

Die Entdeckung ist nun deshalb auch so brisant, weil Mozilla dieses Addon in einem Blog-Post (Make your Firefox browser a privacy superpower with these extensions) vom 9. August 2018 offiziell empfiehlt:

Web Security is a sophisticated browser add-on that uses an extensive database to prevent websites from harming your computer or obtaining your sensitive data. Users are often lured to open counterfeit websites of banks, by convincing emails. The Web Security extension will help you detect these counterfeit sites so that you will not be decoyed to enter your sensitive information where it is not safe.

Bis auf Weiteres solltet ihr auf das Addon verzichten. Jetzt gilt es zunächst einmal weitere Analysen am Addon (Version 1.0.0) vorzunehmen, um dann zu ermitteln, was hier übertragen wird. Erste Anhaltspunkte lassen sich in der Datenschutzerklärung des Addons finden:

2. Non-personally identifiable information that is collected automatically by Creative Software Solutions GmbH:

When the user opens the pages, used by Web Security, the following information gets processed to assure the successful operation of Web Security: the web pages that the user opens or the operating web server, the name of the internet service provider of the user and the website from which the user came from and the sub-pages the user opened. Otherwise, the user might not be warned of harmful sites. No personal information is collected by Creative Software Solutions GmbH automatically. The date and duration of the individual page visits will be stored by Creative Software Solutions GmbH in an anonymous form and checked against a database operated by Creative Software Solutions GmbH to alert the user about malicious sites, so that the purpose of the contract is fulfilled.

Update: Ja, das Addon versendet sensible Surf-Daten. Weitere Details hier. Fun-Fact: Mozilla hat den ursprünglichen Blog-Beitrag still und heimlich aktualisiert. Das Addon wird nun nicht mehr empfohlen – wie bekommen das die User mit, die der Empfehlung von Mozilla bereits gefolgt sind?

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡