Der unsichtbare Feind im Browser: Wie Netflix-Add-ons deine Daten auslesen

Der perfide Deal: Buntes Netflix-Profilbild gegen nackte Privatsphäre

Ich habe es schon immer gepredigt: Kostenlose Tools im Browser existieren niemals ohne einen echten Preis.

Wer eine praktische Erweiterung für bunte Profilbilder oder PiP-Modi installiert, zahlt am Ende eiskalt mit seiner kompletten digitalen Identität.

Die Sicherheitsforscher von LayerX Security haben genau dieses dreckige, aber völlig legale Geschäft jetzt in einer neuen Analyse schonungslos seziert.

• Dashy-New-Tab: Dieses Tool lügt im Chrome Web Store ganz offen über den Datenverkauf, gesteht ihn aber tief in den endlosen AGBs völlig legal ein.
• Netflix-Erweiterungen: Ein einziger anonymer Entwickler greift mit 24 unscheinbaren Add-ons täglich die Daten von knapp 800.000 ahnungslosen Usern ab.
• Gesammelte Metadaten: Die Tools tracken eure komplette Streaming-Historie, das Alter, das Geschlecht und füllen Lücken systematisch über verknüpfte externe Datenbanken auf.

Adblocker als Datenkraken: Der ultimative Security-Fail

Das grenzt für mich an absolute Realsatire. User installieren sich Adblocker zum gezielten Schutz vor Tracking und holen sich exakt damit die schlimmsten Datenspione direkt ins eigene Netzwerk.

Besonders absurd agieren hier zwei extrem prominente Vertreter, die Millionen Nutzer auf dem Gewissen haben.

• Stands-AdBlocker: Das Tool verzeichnet satte 3 Millionen Installationen und verkauft fröhlich sämtliche Browser-Daten für Marktanalysen an externe Agenturen weiter.
• Poper-Blocker: Mit 2 Millionen Usern im Rücken leitet diese Erweiterung aus besuchten URLs sogar höchst sensible Dinge wie den Gesundheitszustand und die sexuelle Orientierung ab.
• Fehlende Transparenz: Satte 71 Prozent aller gelisteten Chrome-Web-Store-Tools besitzen nicht einmal eine echte und rechtsgültige Datenschutzrichtlinie.

Die findigen Entwickler verstecken diese gigantischen Datenabflüsse clever in kilometerlangen Textwüsten. Das macht den dreisten Verkauf eurer intimsten Details für Marketing-Budgets urplötzlich völlig legal.

B2B-Spionage: Dein Firmen-Dashboard gehört jetzt der Konkurrenz

Spätestens hier hört der Spaß für uns Administratoren endgültig auf. Die LayerX-Analyse listet fast 30 Programme auf, die Angreifer speziell für den geschäftlichen Einsatz konzipiert haben.

Dazu zählen vor allem smarte Sales-Intelligence-Tools, die Mitarbeiter ahnungslos direkt auf ihren sensiblen Firmenrechnern betreiben.

• Geleakte Firmeninterna: Interne URLs und streng vertrauliche Daten aus SaaS-Dashboards fließen ungehindert in kommerzielle Datenbanken ab.
• Forschungsaktivitäten: Die Tools saugen komplette Suchhistorien der Belegschaft ab und veräußern diese an interessierte Drittanbieter.
• Legal erwerbbar: Eure direkten Konkurrenten können diese wertvollen Firmengeheimnisse völlig legal bei professionellen Datenhändlern einkaufen.

Leider haben wir bei unserer Recherche im Netz keine genauen Namen oder Versionsnummern dieser Tools gefunden. Es bleibt leider nur eine gut gemeinte Warnung. Weitere Infos siehe hier.

Fazit (für Admins)

Schmeißt den naiven Blacklist-Ansatz bei Browser-Erweiterungen heute noch über Bord. Setzt stattdessen auf rigoroses Whitelisting per GPO oder MDM und erlaubt auf euren Firmen-Clients ab sofort ausschließlich transparent geprüfte Open-Source-Lösungen.

Wer heute noch blind kostenlose Browser-Erweiterungen mit undurchsichtigen AGBs installiert, liefert seine persönliche Identität und extrem sensible Unternehmensdaten frei Haus an den Meistbietenden.