Firefox-Addon Web Security übermittelt private Daten

[English]Es ist eine unschöne Geschichte: Die Mozilla-Entwickler haben das Addon Web Security zum Schutz der Privatsphäre bzw. zum sicheren Browser kurzzeitig empfohlen. Dieses Addon überträgt aber beim Surfen die URLs und weitere (ggf. private oder sensitive) Daten der angesurften Webseiten, und das über eine unverschlüsselte Verbindung. Hier ein paar Informationen zum Thema.


Anzeige

Was ist das Addon Web Security?

Bei Web Security handelt es sich um ein Addon für den Firefox-Browser, welches man von dieser Webseite (Link entfernt) herunterladen kann. Der Anbieter wirbt mit ‘Live protection from malicious URLs’, also dem Echtzeitschutz vor gefährlichen URLs. In der Beschreibung heißt es:

Schützen Sie Ihren Computer und Ihre Privatsphäre!

Web Security ist ein hochentwickeltes Browser-Add-on, das fortschrittliche Echtzeit-Schutztechnologie sowie eine umfangreiche Datenbank verwendet, um zu verhindern, dass Websites Ihren Computer beschädigen oder Ihre sensiblen Daten erhalten.

Experten haben festgestellt, dass die Zahl der Angriffe und Bedrohungen durch Malware und Phishing-Betrügereien drastisch zugenommen hat und dass es aufgrund ihrer höheren Komplexität schwieriger wird, diese zu erkennen und zu verhindern. Web Security verwendet jedoch modernste Technologien, um diese zu identifizieren und die Benutzer vor dem Zugriff auf diese potenziell gefährlichen Seiten zu schützen.

Benutzer werden oft durch überzeugende E-Mails dazu verleitet, gefälschte Websites von Banken zu öffnen. Das kostenlose und einfach zu installierende Web Security Add-on hilft Ihnen, diese gefälschten Websites zu erkennen, so dass Sie nicht dazu verleitet werden, Ihre sensiblen Daten dort einzugeben, wo sie nicht sicher sind.

Beim ersten Absatz läuten bei mir schon die Alarmglocken, ist doch von einer umfangreichen Datenbank die Rede, die zur Echtzeitüberprüfung der aufgerufenen URLs verwendet wird. Im Klartext: Da werden alle angesurften URLs an den Entwickler des Addons übertragen.

Mozillas kurze Empfehlung für Web Security

Noch am 9. August 2018 empfahl Mozilla dieses Addon in einem Blog-Post (Make your Firefox browser a privacy superpower with these extensions). Mittlerweile ist diese Empfehlung aber gelöscht – man kann es nur noch indirekt erkennen, da im Text der Satz ‘We’ve put together a collection of 14 of our favorite privacy extensions, all made to help give you more control of your personal information’ steht. Beim Zählen komme ich nur noch auf 13 Einträge. Aber Mike Kuketz, der auf die Geschichte gestoßen ist, hat den ursprünglichen Absatz in seinem Blog dokumentiert:

Web Security is a sophisticated browser add-on that uses an extensive database to prevent websites from harming your computer or obtaining your sensitive data. Users are often lured to open counterfeit websites of banks, by convincing emails. The Web Security extension will help you detect these counterfeit sites so that you will not be decoyed to enter your sensitive information where it is not safe.

und warnt: Bis auf Weiteres solltet ihr auf das Addon verzichten. Offenbar haben die Mozilla-Verantwortlichen die Empfehlung für das Addon zurückgezogen und den Absatz gelöscht.

Die Details im Hintergrund

Mike Kuetz befasst sich mit Sicherheitsthemen und hat sich das Addon bzw. das, was dieses ins Internet überträgt, angesehen. Bei der Analyse der vom Addon übertragenen Daten sind ihm einige Dinge negativ aufgefallen:

  • Die übertragenen Nutzdaten sind irgendwie verschleiert (obfuscated). Aber die eigentliche Übertragung erfolgt ungeschützt per http-Verbindung. Man weiß als Nutzer also nicht, was wirklich übertragen wird.
  • Jeder Domain-Aufruf und jeder Wechsel der URL löst einen Datentransfer aus. Das ist auch logisch, denn das Addon verspricht ja, vor bösen URLs zu schützen und soll die URL mit einer Datenbank abgleichen.

Kuketz schreibt, dass die Daten, ähnlich wie bei ‘Web of Trust’ (siehe Datenskandal: ‘bist Du gläsern?’ Millionen Daten von deutschen Surfern offen gelegt) verschleiert werden. In einem zweiten Blog-Beitrag verweist Kuketz auf einen Forenbeitrag, wo jemand schreibt, dass sich die Routine zum Entschlüsseln in der Datei include/background.js befände. Mittels der Funktion ist es gelungen, den übertragenen Datensatz zu entschlüsseln. Hier das Beispiel aus dem Forum, welches genau verrät, was der Surfer macht.

<id|35237841|id><hash|1|hash><app|web_security|app><agent|FF|agent><app_data|;<oldUrl;|http://blog.fefe.de/;|oldUrl;>;<newUrl;|https://www.kuketz-blog.de/;|newUrl;>;<oldHost;|blog.fefe.de;|oldHost;>;<newHost;|www.kuketz-blog.de;|newHost;>;<hash;|67918192;|hash;>;<language;|de;|language;>|app_data>

Die Übertragung erfolgt an die IP-Adresse »136.243.163.73« – dies ist ein Hetzner-Server in Deutschland. Da der Entwickler des Addons die Creative Software Solutions GmbH aus Hameln ist, ist das auch nicht verwunderlich. Die Datenschutzerklärung des Addons (Link https://addons.mozilla.org/de/firefox/addon/web-security/privacy/ entfernt) benennt die Creative Software Solutions GmbH und gibt auch Auskunft über die Datensammelei. Unter Punkt 2 heißt es:

2. Non-personally identifiable information that is collected automatically by Creative Software Solutions GmbH:

When the user opens the pages, used by Web Security, the following information gets processed to assure the successful operation of Web Security: the web pages that the user opens or the operating web server, the name of the internet service provider of the user and the website from which the user came from and the sub-pages the user opened. Otherwise, the user might not be warned of harmful sites. No personal information is collected by Creative Software Solutions GmbH automatically. The date and duration of the individual page visits will be stored by Creative Software Solutions GmbH in an anonymous form and checked against a database operated by Creative Software Solutions GmbH to alert the user about malicious sites, so that the purpose of the contract is fulfilled.


Anzeige

Der übliche Text ‘wir übertragen die Daten (URLs) der aufgerufenen Webseiten, welcher Provider dahinter steckt und von wo eine neue Seite aufgerufen wird’ – natürlich nur, um die Schutzfunktion durchführen zu können. Von der Creative Software Solutions GmbH werden keine persönlichen Daten gesammelt oder gespeichert.

Klingt gut, die Vorgänge um ‘Web of Trust’ zeigen aber, dass es keine ‘anonymen Daten’ gibt. Kommt man an die Daten, lässt sich oft die betreffende Person an Hand des Surfverlaufs über die URLs der angesurften Seiten ermitteln. Eine Websuche ergab an Hand der Handelsregisterauszüge für die GmbH folgenden Geschäftszweck:

Entwicklung und Vermarktung von Software. Entwicklung und Gestaltung von Adserver-Technologie und Handel mit Werbeflächen für zielorientierten Traffic.

Nun möchte ich erst einmal der Creative Software Solutions GmbH nicht unterstellen, dass diese die URLs sammelt, anonymisiert und dann vermarket. Aber die Kombination von Erfassung aller angesurften URLs samt Information, woher man kommt, die Codierung der Informationen, aber Übertragung per http, sollte bei jedem denkenden Menschen die Alarmglocken läuten lassen. Eine Funktion, die man nicht braucht, also Finger weg von diesem Addon.

Ein-Sterne-Reviews

Die Ein-Sterne-Reviews (Link entfernt) sind denn auch ganz aufschlussreich. Einer behauptet, dass das Addon ein bösartiges Redirect auf eine Malware nicht verhindert habe.

I visit a website I knew had been hacked and was redirecting to malware sites. I had no way to check if it had been fixed yet without visiting. Firefox was not blocking the malware redirects, so I got this addon. It didn’t block the malware redirects, either.

Ein anderer schreibt eine noch merkwürdigere Beobachtung, das Addon sei ohne sein Zutun im Firefox installiert worden (möglicherweise per Pilot):

Where did this extension come from? I never installed this, noticed when Firefox started acting up and found this in my addons.

Gut, man sollte diese Bewertungen mit Vorsicht genießen. Aber es hilft beim Nachdenken, denn die Summe aller Puzzleteile ergibt das Bild. Mike Kuketz rät jedenfalls dringend von der Benutzung des Addon ab, und dem kann man sich nur anschließen. Martin Brinkmann hat sich auf ghacks.net in diesem englischsprachigen Artikel ebenfalls des Themas angenommen. Er ist zu den gleichen Schlüssen gekommen und bemängelt, dass die Mozilla-Leute nicht testen und nun einfach den Text mit der Empfehlung entfernt haben, ohne die Nutzer zu informieren.

Ergänzung: Mozilla hat dieses Addon, zusammen mit 22 anderen Addons aus der Firefox Download-Seite entfernt (siehe Mozilla entfernt 23 obskure Firefox Add-Ons).

Nachtrag: Stellungnahme des GF der Addon-Entwickler

Im Nachgang ist mir der folgende Text des Geschäftsführers, der Addon-Entwickler, per Mail zugegangen. Ich stelle diesen englischsprachigen Text hier einfach mal (bewusst unkommentiert) ein.


Dear community, dear Günter Born,

we would like to take a stand on the events of the last days.

Without question we made mistakes in our free addons for which we would like to sincerely apologize. Further it is our mission to in any form about the issues and the future improvements.

Encryption (SSL): The communication of our addons with the servers was not completely encrypted. This has been fixed on the server side and an update for the addons is ready and can be rolled out as soon as Mozilla unlocks the addons.

For improved transparency, we would like to explain what data has been transmitted and the purpose of this transfer.

We transfer the following data:
– ID
– Old URL / old host
– New URL / new host
– hash
– App
– Agent
– Language

We use the ID to build a security chain that can consist of up to 5 consecutive requests. Should the user enter a malicious website, then the transferred “old URL” and the “new URL” can be used to track from which website the user came to this malicious website.

With this system, malicious pages get a “red” rating. Pages that link to “red” pages receive a “yellow” rating.

All this data is used to improve our heuristics and threat analysis. The transmitted data is stored for a maximum of 15 minutes on our German servers and cannot be used to identify a natural person.

We use to transfer “App”, “Agent”, “Language” and “Hash” for statistical reasons. As part of the updates, however, this data will be removed in the next update.

In order to avoid ambiguity, we will further clarify the explanations of what data is transferred and what it is used for in more detail.

Remote Code Execution: Unfortunately, in the course of any continuous software development project remnants of old program code are always left behind. Such was the case for us, however as reported in 7 out of 10 addons this program code was no longer functional.

In the past, this feature was used to quickly alert the user of critical threats without having to undergo the time-consuming update procedure. Mozilla’s new update policy makes this feature obsolete and this the functionality is no longer in use. With the future update, the remaining fragments will be permanently removed. In addition, we will improve our quality assurance management to avoid such code snippets or errors in the.

We regret the incident and would like to have the opportunity to regain the confidence placed in us by the users.

Best Regards,
Fabian Simon


Ergänzende Links zu obiger Stellungnahme

Es spricht aus meinem Blickwinkel (es sollen alle Stimmen zu Wort kommen) nichts dagegen, die Stellungnahme von Herrn Fabian Simon, Geschäftsführer der Simon Holding GmbH, hier im Blog zu veröffentlichen. Bei meiner Kurzrecherche habe ich mich aber über zwei Dinge gewundert:

a) unter der Simon Holding GmbH firmiert ein ganzes Firmengeflecht. Inzwischen bin ich auf diesen Forenpost mit weiteren Insights gestoßen. Wozu braucht man das?

b) Keine der Firmen ist mir persönlich mit dem Geschäftsziel ‘Sicherheitslösungen im Web’ (Security) aufgefallen. Vielmehr ist oft von SEO, Adwords etc. im Geschäftszweck die Rede.

Mir stellte sich die Frage: Wieso macht sich ein solcher Anbieter anheischig, ein Addon mit dem Zweck ‘Schutz der persönlichen Daten und Schutz vor bösartigen URLs’ anzubieten? Man könnte da durchaus einige Schlussfolgerungen anstellen.

Am 20. August 2018 ist bei heise.de der Beitrag Firefox-Add-on “Web Security”: Entwickler räumen Fehler ein erschienen. Ein Blog-Leser hat mich daher auf eine Fundstelle im heise.de-Forum hingewiesen. Persönlich benutze ich auch gerne mal die Websuche mit einem Vor- und Nachnahmen, gekoppelt mit Begriffen wie Abzocke, um ggf. einen Hintergrund-Check durchzuführen. Ich glaube in der oben verlinkten Fundstelle sowie mit der skizzierten Websuche für mich Antworten auf meine obigen Fragen gefunden zu haben. Das kann eigentlich Jeder selbst durchführen und danach die obige Stellungnahme von Herrn Simon selbst einordnen.

Ähnliche Artikel:
Datenskandal: ‘bist Du gläsern?’ Millionen Daten von deutschen Surfern offen gelegt
Ergänzung zum #Surfgate: Politikerdaten aufgetaucht
Datenskandal: Mozilla und Google werfen “Web of Trust” raus
Mozillas Firefox DNS-Sündenfall …
Datenschutz: Mozillas Opt-out Firefox DNS-Test
Browser AddOn Stylish für Chrome/Firefox verbannt
Sicherheitstool Firefox-Monitor angekündigt
CSS-Bug leakte Nutzerinfos in Chrome und Firefox
Firefox: Google-Suche zeigt personalisierter Werbung
Firefox bringt Facebook-Container als Tracking-Blocker
Firefox patzt bei der Master-Passwort-Speicherung


Anzeige

Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Firefox-Addon Web Security übermittelt private Daten


  1. Anzeige
  2. Guido sagt:

    “Schützen Sie Ihren Computer und Ihre Privatsphäre!”
    Genau mein Humor …
    Das Addon wurde sogar von Mozilla beworben, ist nun aber doch wieder von der Werbebildfläche im FF verschwunden.
    Meine Standortbestimmung OHNE Google Chrome:
    Was macht Mozilla da eigentlich die letzten Tage so?
    Firefox: Browsererweiterung Advance sammelt Surfverlauf bei sog. Testpiloten.
    Firefox: Übermittlung besuchter Domains an Cloudflare!
    Antwort:
    Mozilla schaufelt sich sein eigenes Grab und verliert mein Vertrauen konstant.

  3. RUTZ-AhA sagt:

    Es gab Zeiten, da habe ich tatsächlich dem Versprechen von Mozilla in Sachen Privacy und Datenschutz Glauben geschenkt. Ich bin enttäuscht, dass diese Prioritäten derart mit Füßen getreten werden. Aus ehemals Vertrauen ist stetes Misstrauen geworden.

    Trotzdem bleibt Firefox alternativlos, da er sich als einziger Browser bis ins tausendste konfigurieren und überwachen lässt. In diesem Sinn müsste Mozillas Versprechen quasi umgedeutet werden.

  4. Anzeige

  5. Thorky sagt:

    Nach einem Thread zum Thema im Chip-Forum hat chip.de jetzt eine Downloadsperre für das Add-On bei sich eingerichtet: https://www.chip.de/downloads/Web-Security-fuer-Firefox_146506999.html
    Damit geht man dort deutlich weiter als Mozilla, das diese “Man-In-The-Middle”-Erweiterung weiterhin bei sich anbietet. In diesem konkreten Punkt: Chapeau, Chip.

  6. Christian59 sagt:

    …warum soll man sich auch was schützen lassen,
    was es ja immer wieder nachweisbar schon lange
    nicht mehr gibt:

    Die “Privatsphäre” nämlich…

    Gruss, Christian

    • RUTZ-AhA sagt:

      Doch, die gibt es noch teilweise, aber zu welchem Preis.
      Kein Massen taugliches Betriebssystem nutzen
      umfassenden Verzicht üben
      sich ständig mit Privatsphäre in allen Belangen beschäftigen müssen
      stete Wachsamkeit / Misstrauen rundum
      trotz Aufwand abnehmender Schutz, weil immer neuer Bullshit erfunden wird
      Und irgendwann reif für die Insel.

  7. Günter Born sagt:

    Bei der Addon-Beschreibung gibt es jetzt ein Update des Entwicklers, dass man die Kommunikation auf SSL umstellen will.

    • Roland Moser sagt:

      Das einzige was ändert, ist die Übertragung: Neu wird verschlüsselt übertragen. Der Rest bleibt gleich, also immer noch ein Gangster-Laden.

  8. Nobody sagt:

    Seite nicht gefunden
    Dieses Add-on wurde durch einen Administrator deaktiviert.

  9. Anzeige

  10. Günter Born sagt:

    Nachtrag: Mozilla hat das Addon aus dem betreffenden Firefox-Download-Bereich entfernt. Zudem ist mir ein Text des Addon-Entwicklers zugegangen. Ich habe beide Informationen im obigen Text nachgetragen.

  11. woun prell sagt:

    hab die engl. Stellungnahme mal spasshalber in den gugl-Übersetzer eingegeben, erstaunlich sehr brauchbar das Ergebnis mittlerweile. Und schnell. :)

    ansonsten die üblichen Litaneien.
    Ja, sorry, fehlerchen gemacht. Passiert. machnwa nieee wieder, bestimmt…
    (räusper) ;)

  12. Nobody sagt:

    “Mir stellte sich die Frage: Wieso macht sich ein solcher Anbieter anheischig, ein Addon mit dem Zweck ‘Schutz der persönlichen Daten und Schutz vor bösartigen URLs’ anzubieten?”
    Das ist die entscheidende Punkt. Deshalb Finger weg von solchen Tools, die unter dem Deckmantel der Verbesserung der Sicherheit das Surfverhalten der User ausspionieren, um damit Werbung zu optimieren und leztztlich Geld zu verdienen.

Schreibe einen Kommentar zu Christian59 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.