Stylish: Browsererweiterung spionierte Nutzer aus
Google, Mozilla und Opera haben eine Browsererweiterung namens „Stylish“ entfernt. Jene wurde immerhin über zwei Mio. mal heruntergeladen. Wie es aber leider manchmal so ist, wenn man Software von unabhängigen Entwicklern bezieht – leider haben nicht alle nur Gutes im Sinn. So erfasste Stylish jede Website, welche die jeweiligen Nutzer aufriefen. Jene Informationen leitete die Browsererweiterung dann an einen Remote-Server weiter.
Den Nutzern half Stylish, der Name deutet es an, die Oberfläche von angezeigten Websites anzupassen. Etwa ließen sich damit in sozialen Netzwerken wie Facebook und Twitter aus den News-Feeds Inhalte herausfiltern oder auch Themes verändern. Leider war der Preis für diese Komfortfunktionen hoch: Im Hintergrund erfasste Stylish alle Browsing-Aktivitäten des jeweiligen Nutzers und schickte sie mit einem individuellen Nutzer-Indikator an externe Server. Damit wäre es auch möglich Korrelationen zwischen dem Nutzungsverhalten und etwa E-Mail-Adressen herzustellen. Begonnen hat Stylish damit wohl seit Anfang 2018.
Tatsächlich wies Stylish in seinen Angaben zum Datenschutz aus, dass man die Brwosing-History erfasse. Allerdings ging man bisher davon aus, dass das zumindest anonym vonstatten gehe. Genau das war aber offenbar nicht gerade gewährleistet. Offen zugegeben wurde seitens der Stylish-Inhaber zumindest ab Mai 2018, dass die Erweiterung Web-Server-Log-Informationen bzw. Web-Requests, verwendete URLs, Internet-Protokoll-Adressen (immerhin trimmed / hashed), HTTP-Referrer und User-Agent-Daten speicherte.
Der Sicherheitsforscher Robert Heaton hat mit dem Tool Burp Suite einmal genau nachverfolgt, was Stylish eigentlich treibt. Laut Heaton leite Stylish große Datenmengen an die Website Userstyles.org weiter. Jene steht unter der Kontroller der neuen Besitzer der Erweiterung. Die Daten enthalten laut Heaton jede URL, welche der jeweilie User aufruft, Google-Suchergebnisse und als Standardeinstellung, immerhin veränderbar durch den jeweiligen Nutzer, auch eine individuelle Identifizierungsmarke.
Erfasst hat Stylish jene Daten in Chrome seit Januar und unter Firefox seit März. Auch wenn Stylish darauf immerhin seit einiger Zeit in seinen Datenschutzbestimmungen hinweist, dürfte dieser Faktor sicherlich dem Gros der Nutzer entgangen sein. Schließlich wurden auch Google, Mozilla und Opera erst jetzt hellhörig.
Die Inhaber von Stylish haben sich zu der ganzen Angelegenheit nicht geäußert. Letzten Endes ist das abermals eine Lektion darin, dass man sich immer genauer damit befassen sollte, was man sich so auf den Rechner holt. Gerade dann, wenn etwas augenscheinlich gratis ist, zahlt man des Öfteren auf andere Weise einen Preis.
Ich hoffe nur, dass ublock origin und und canvas blocker möglichst lange sauber bleiben. Mehr Erweiterungen nutze ich zum Glück nicht.
ublock origin ist open source, da kannst selber nachsehen wie „sauber“ er ist.
Genau das ist eben das Problem, das kann eben nicht jeder, jedenfalls nicht, ohne was vom Code zu verstehen. Und genau darum ist Open Source auch kein Garant für sichere Produkte.
Einen Garant für Sicherheit zu bekommen ist unmöglich, prinzipiell ist alles unsicher. Die Chance, dass Sicherheitslücken bekannt werden ist allerdings bei Open-Source-Software meist wesentlich höher.
Nein, genau das ist nicht das Problem. Es ist mehr als logisch, dass nur ein kleiner Teil der User den Quellcode versteht. Um so größer die Nutzerzahl, um so größer die Zahl derer, die den Quellcode verstehen und um so größer die Zahl der Nutzer, die ihn sich auch anschaut. Man genießt damit den Schutz der Community.
Auf jeden Fall ist dieses System um Welten besser als wenn der Code geschlossen ist und man blind „vertrauen“ muss.
Dass Stylish Daten sammelt, ist ja bereits Ende 2016 vom neuen Betreiber bekanntgegeben worden. Wie oben im Artikel beschrieben wurde das natürlich mit Anonymisierung schöngeredet (https://bit.ly/2m3iSjh).
Ich bin deshalb auf Stylus gewechselt, das ist ohnehin besser und hoffentlich noch sauber. Und die Stylish-Scripts ließen sich leicht im Schwung konvertieren.
Interessant wäre mal eine Anleitung, wie man Spionage selbst genutzter Extensions aufdecken kann, damit man nicht immer mit einem komischen Gefühl unterwegs sein muss.
@Fibi
Wie hast Du denn die Konvertierung durchgeführt, hab dazu nichts gefunden.
Hab die Konvertierung von Stylish auf Stylus gefunden, hat auf Anhieb geklappt.
https://github.com/openstyles/stylus/wiki/FAQ#how-can-i-export-my-user-styles-from-stylish-for-firefox-to-stylus
Wäre schön gewesen, wenn du den Hinweis auf die alternative Stylus aus dem original Artikel mit übernommen hättest. Nutze es bereits seit kurz nach dem Verkauf von Userstyles, da man in deren Foren bereits auf das sammeln von Daten hinwies.
Es ist also tatsächlich weiterhin möglich Userstyles zu nutzen, ohne seine Privatsphäre aufgeben zu müssen. Ich persönlich halte diese Ergänzung für sehr wichtig und wurde mit Sicherheit absichtlich in dem von dir verlinkten Artikel ganz am Ende erwähnt.
Ich sehe ehrlich gesagt den praktischen Wert dieser Erweiterungen nicht, lasse mich da aber gerne belehren. 🙂
Es erlaubt die nahezu völlige Umgestaltung einer Seite. Das kann bloß als optische Anpassung verwendet werden (z.B. nutze ich „Google Tools back“ mit dem ich wie beim alten Google auf der linken Seite alle erweiterten Sucheinstellungen klickbereit habe) oder aber auch für eine funktionale Erweiterung. Schalter können hinzugefügt werden, für Dinge die zwar vorhanden, aber nur umständlich oder gar nur durch (Such-)Befehle zu erreichen sind. Internetseiten die auf breite Bildschirme nicht optimiert sind (vor allem Blogs) können die Seiten erweitern und so alles kompakter darstellen, anstatt links und rechts blanke Ränder zu haben. Oder auch zusätzliche Sortierfunktionen für z.B. ebay oder eben andere Seiten mit Listendarstellung.
Man kann es stark mit Userscripts vergleichen, während diese mit Grease-/Violentmonkey und Derivate auf funktionale Erweiterungen im Hintergrund (ja grafische Lösungen sind dennoch möglich) spezialisiert sind (wie z.B. autom. Weiterleitungen bei Paywalls oder Umgehung von Scamware bei Downloads wie bei Chip.de), ist Stylus auf eine grafische Lösung spezialisiert und eventuell effizienter in dem Bereich.
Ich will ganz ehrlich sein, wenn man nach Userstyles für Google sucht, ist nur ein geringer Anteil tatsächlich auf Funktionsverbesserung gedacht, die meisten sind rein optischer Natur, dennoch sind die vergleichsweise wenigen Funktionsverbesserungen für mich nicht mehr weg zu denken.
Danke erstmal. Ja, mit UserScripts kann ich schon was anfangen, habe aber nur selten das Bedürfnis gehabt, das auch zu nutzen. Ich nehme die meisten Webseiten, wie sie eben sind, ohne dass ich mich eingeschränkt oder zu unnötigen Klicks genötigt fühle, blende lediglich auf einigen Webseiten mal das eine oder andere Element aus, um die Ladezeiten zu verringern, das liegt aber wohl auch ein Stück weit an der Gewöhnung. Ich setz mich damit bei Gelegenheit nochmal auseinander … 🙂
Ich nutze Stylus hauptsächlich um Seiten „einzufärben“ und die Fonts anzupassen.
Viele Websites, so wie auch diese hier, tendieren mit ihrem grell-weißen Hintergrund nämlich stark dazu, mir die Augen aus zu brennen.
Speziell bei Dunkelheit.
Ich verstehe nicht warum man in dem Artikel das Ganze auf unabhängige Entwickler schiebt.
„Wie es aber leider manchmal so ist, wenn man Software von unabhängigen Entwicklern bezieht – leider haben nicht alle nur Gutes im Sinn.“
Gerade von denen installiere ich mir eher etwas und hab Vertrauen, als wenn da irgendein mir unbekannter Firmenname steht.
Genauso wie ich lieber in diesem Blog etwas lese als in irgendeinem Computerbild-Verschnitt.
Und auch in diesem Fall scheint die Datensammlung ja erst begonnen zu haben nachdem die Erweiterung an eine Firma verkauft wurde.