Mozilla sperrt das Add-On "Web Security"

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Mozilla sperrt das Add-On "Web Security"

    Das von Mozilla empfohlene Firefox-Add-on "Web Security" sammelt mehr Daten als nötig und verschickt sie auch noch unsicher.
    Jetzt wurde es gesperrt.
    Das Add-on Web Security soll eigentlich Firefox-Nutzer vor bösen Web-Seiten schützen und wurde unter anderem von Mozilla selbst empfohlen. Über 200.000 Nutzer hatten es installiert. Jetzt ist es wegen zweifelhafter Praktiken in die Kritik geraten, die Sicherheit und Privatsphäre gefährden. Mozilla hat daraufhin seine Empfehlung entfernt und will den Sachverhalt jetzt genauer untersuchen. Darüber hinaus hat der Browser-Hersteller eine vorläufige Sperre von "Web Security" und den damit assoziierten Add-ons verhängt.
    Konkret hatte zunächst Raymond Hill, Entwickler des Ad-Blockers ublock origin, moniert, dass das Add-on unverschlüsselte HTTP-Verbindungen nutzt, um Daten an seinen Server zu senden. Nachdem der Security-Spezialist Mike Kuketz in seinem Blog dokumentierte, dass Web Security dabei nicht nur die URLs der besuchten Seiten unverschlüsselt überträgt, sondern diese auch noch mit einer eindeutigen ID kennzeichnete, war das Maß voll: Mozilla reagierte mit einer vorläufigen Sperre.
    Mehr Daten als nötig
    Dass ein Add-on, das vor bösartigen Web-Seiten schützen soll, die URLs der besuchten Seiten an den eigenen Server schickt, um dessen Einschätzung zu bekommen, ist gängige Praxis. Es gibt zwar durchaus datenschutzfreundlichere Methoden, wie den Abgleich mit einer lokalen Datenbank. Doch das allein hätte Web Security noch nicht das Genick gebrochen. Auslöser der Sperre ist vielmehr, dass es nicht nur die nackte URL, sondern zusätzliche Informationen wie die Vorgänger-URL sendet und diese Daten weitgehend ungesichert überträgt.
    Derzeit kann man Web Security bei Mozilla nicht mehr herunterladen. Wer es bereits installiert hat, sollte es besser de-installieren. Bereits vor einiger Zeit hatte Mozilla mit Web of Trust ein ähnliches Security-Add-on gesperrt, nachdem bekannt wurde, dass der Hersteller Daten der Nutzer sammelte und verkaufte. Es stellt sich die Frage, warum Mozilla so etwas nicht vor einer Empfehlung prüft. Immerhin handelt es sich ja um recht offensichtliche Aktivitäten; eine unverschlüsselte HTTP-Übertragung hätte schon ein recht einfacher Check ans Licht gebracht.

    Quelle: Mozilla sperrt das Add-On "Web Security" |
    heise Security
  • Mozilla entfernt 23 Firefox-Add-Ons, die Nutzer ausspionieren
    Mozilla hat Maßnahmen gegen allzu neugierige Add-Ons für den Browser Firefox ergriffen und insgesamt 23 Add-Ons entfernt. Die Reaktion erfolgt nur kurze Zeit, nachdem bekannt geworden ist, dass das beliebte Sicherheits-Add-On Web Security die Nutzer ausspäht, indem es den gesamten Browser-Verlauf an Server sendet, obwohl dies für die Funktionsweise wohl nicht zwingend notwendig wäre. Peinlich für Mozilla: Erst in der vergangenen Woche hatten die Firefox-Entwickler selbst die Nutzung des Add-Ons empfohlen, nach Bekanntwerden der Vorwürfe die Empfehlung aber heimlich wieder zurückgenommen. Wir berichten ausführlich über diesen Fall in dieser Meldung.

    Der Fall "Web Security" hat nun Auswirkungen auf viele weitere Firefox-Add-Ons. Mozilla-Entwickler Rob Wu erklärte jetzt gegenüber Bleebingcomputer.com, dass man sich weitere Add-Ons angeschaut habe und solche entfernt habe, die sich ähnlich wie das "Web Security"-Add-On verhalten. Einige davon, so Wu, würden sogar Daten an die gleichen, in Deutschland stehenden Server senden. Auch Web Security selbst ist betroffen und aktuell nicht mehr auf dem Firefox Add-Ons Marktplatz verfügbar. Der Link zur Info-Seite über Web Security führt jetzt zu einer leeren Seite.

    In diesem Eintrag auf Bugzilla werden die betreffenden Firefox-Add-Ons aufgelistet. Den 23 Add-Ons wird unter anderem vorgeworfen, mehr Daten als notwendig an die Entwickler zu senden. Außerdem erfolge der Versand der Daten ungeschützt und die Macher der Add-Ons klären nicht ausreichend darüber auf, warum bestimmte Daten gesammelt werden müssen. Bei einigen der Add-Ons bestehe sogar die Möglichkeit, dass sie aus der Ferne den Befehl zum Ablaufen eines potentiell schädlichen Codes auf dem lokalen Rechner erhalten könnten.

    Die Strafe von Mozilla gegen die 23 Add-Ons beschränkt sich nicht nur auf deren Verfügbarkeit. Bei Nutzern, die die betreffenden Add-Ons in der Vergangenheit installiert hatten, werden die betreffenden Add-Ons automatisch abgeschaltet. Interessant ist die Tatsache, dass Mozilla die entfernten 23 Add-Ons nicht direkt namentlich nennt, sondern nur IDs und Guids der betreffenden Add-Ons publik macht. Indirekt kann dadurch aber auf die Namen der Add-Ons zurück geschlossen werden.

    Konkret von der Verbannung betroffen sind Firefox-Add-Ons wie Browser Security, Smarttube, Browser Safety und Browser Privacy. Ebenfalls nicht mehr verfügbar sind unter anderem die Add-Ons Popup Blocker, Quick AMZ, YTTools und Dirty Little Helpers.


    Quelle: Mozilla entfernt 23 Firefox-Add-Ons, die Nutzer ausspionieren - PC-WELT