Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Svenska Dagens Nyheter rapporterar att tillägg i webbläsarna Chrome och Firefox läckt information om användare i flera månaders tid.

Tillägg i webbläsare används populärt för att utöka funktionaliteten i en webbläsare eller göra livet på internet smidigare. Dessa tillägg kan dock innehålla säkerhetsbrister eller dolda angrepp. Ett exempel på det sistnämnda har Dagens Nyheter avtäckt i en artikel som beskriver hur webbläsartillägg för Chrome och Firefox har läckt svenskars surfhistorik i flera månader.

Rapporten beskriver att den läckta informationen drabbat cirka 40 000 svenskar som använder tillägg till webbläsarna Chrome och Firefox. Dessa tillägg har då skickat vidare användarens surfhistorik vilket innefattar allt från webbaddresser till datum, filnamn, bredbandsoperatör och mycket mer. Informationen har även avslöjat saker som dokumenthantering på molntjänster, information om barn med speciella behov – och mycket mer.

browser_extension_warning_sv-SE.jpg

Då tilläggen även kan skicka information om webbsidor som använder krypterade https-anslutningar har läckan drabbat personer som jobbar i en organisations säkrade interna nätverk, och kringgår därmed eventuella säkerhetsmekanismer som organisationen upprättat. Informationen har samlats i olika databaser som illvilliga företag sedan säljer vidare.

Webbläsartilläggen som läckt användardata:

  • Hover Zoom

  • Speakit

  • Superzoom

  • Savefrom.net Helper

  • Fairshare Unlock

  • Panelmeasurement

  • Branded Surveys

  • Panel Community Surveys

DN:s rapport utfördes i samarbete med den amerikanska säkerhetsexperten Sam Jadali. Under arbetet med kartläggningen av säkerhetsbristerna i webbläsartillägg gjorde Sam Jadali sig själv till ett "offer" genom att skapa konton hos de företag vars tillägg misstänktes läcka användardata. Inom loppet av en timme hade information från tilläggen skickats vidare till de databaser som sålde den läckta informationen.

Enligt säkerhetsexperten Karl Emil Nikka bör användare vara återhållsamma med hur många tillägg som installeras i webbläsaren.

Webbadresser avslöjar mer än bara användarnas surfhistorik. Webbadresser kan innehålla känsliga parametrar, till exempel delnings-ID:n eller rent av filnamn. I fel händer avslöjar webbadresser på så sätt mycket mer än bara vilka webbplatser som användarna besöker.

Det är tyvärr inte första gången som webbläsartillägg missbrukar sin åtkomst till användarnas webbläsare. Google, Mozilla och de andra webbläsarutvecklarna har svårt att stoppa annat än uppenbart skadliga tillägg. Vad tilläggsutvecklarna gör med insamlad data ligger utanför webbläsarjättarnas kontroll.

Google lanserade förra månaden ett nytt belöningsprogram för de som anmäler webbläsartillägg med bristande eller missvisande hantering av användardata. Detta är en bra åtgärd, men den är reaktiv av sin natur. Det bästa vi användare kan göra är därför att ha så få webbläsartillägg som möjligt installerade och endast installera tillägg från trovärdiga utgivare. Vi bör komma ihåg att varningen som visas vid installation av webbläsartillägg finns där av en anledning (”tillägget kan läsa och ändra all data på de webbplatser du besöker”).

De påverkade tilläggen i DN:s rapport har avlägsnats men i vanlig ordning är nya tillägg med säkerhetsbrister att vänta framöver. Rekommendationen om återhållsamhet från Nikka är därför en permanent sådan.

Läs mer om säkerhetsläckor:

Erbjudande: SweClockers Wireframe No. 1 & Turbo Power

Två stilsäkra t-shirtar i begränsad upplaga. Nu i paket med rabatterat pris! Endast förbokning.

Köp här!

Skicka en rättelse
7

Nvidia Geforce GTX 1650 Ti kan lanseras 22 oktober – kontrar Radeon RX 5600-serien

Instegsmodellen Geforce GTX 1650 Ti sägs enligt kinesiska källor lanseras den 22 oktober. Då modellen ska konkurrera med Radeon RX 5600-serien kan det även antyda om när den lanseras. Läs mer

46

Quiz: Har du koll på förkortningar i tekniksvängen?

Förkortningar och bokstäver kan betyda allt möjligt – ibland något märkligt eller ovanligt komplicerat. Vi har samlat tio olika varianter. Hur många sätter du? Läs mer

39

AMD:s 16-kärniga Ryzen 9 3950X försenas – släpps i samband med nya Threadripper

Med Ryzen 9 3950X ska AMD ta 16 processorkärnor till sockel AM4. Nu meddelas att lanseringen skjuts från september till november, samma månad som nya Ryzen Threadripper gör entré. Läs mer

34

Nintendo Switch Lite är här och Andreas har redan köpt en

Nintendo Switch-familjen får tillökning av nedskalade och billigare Lite. Andreas och Emil tar plats i studion för att snacka om nykomlingen. Läs mer

18

AOC lanserar G2-serien – skärmar med IPS och 1080p i 144 Hz

Den nya G2-seriens skärmar innehåller den något ovanliga kombinationen av IPS-paneler, 1080p-upplösning och 144 Hz bilduppdatering. Läs mer

8

Total War Saga: Troy avtäcks – mänskliga minotaurer och ekonomi utan pengar

Total War Saga: Troy tar spelserien till sin tidigaste epok någonsin – bronsåldern och Illiadens Grekland. Slåss för ära och rättvisa i stora bataljer, som Akilles eller Trojas prins Hector. Läs mer

25

Sony Playstation 5 kan få sällskap av Pro-modell på lanseringsdagen

Nästa år lanserar både Sony och Microsoft nästa generations spelkonsoler. Nu framgår det att Sony kan lansera en högpresterande Pro-variant samtidigt som standardmodellen. Läs mer

I samarbete med MSI
34

Uppgradera grafikkort för Borderlands 3 – SweClockers testar åtta olika modeller

Håller ditt grafikkort måttet att återvända till planeten Pandora eller är det dags för en uppgradering? SweClockers testar hur årets skörd av grafikkort står sig i Borderlands 3. Läs mer

17

AMD Ryzen 5 3500X och 5 3500 för under 2 000 kronor får specifikationer

Utöver 16-kärniga Ryzen 9 3950X planerar AMD en ny duo för prisklassen under 2 000 kronor. Det handlar om två 6-kärniga modeller, varav den ena halverar L3-cacheminnet till 16 MB. Läs mer

147

Fransk domstol: Steam-spel ska kunna säljas vidare – Valve överklagar

Paris högsta domstol slår fast att Valve bryter mot EU-lag på ett antal punkter vad det gäller digital speldistribution. Beslutet överklagas, men kan bli omvälvande för den europeiska marknaden. Läs mer

62

Huawei presenterar Mate 30 Pro – utan Googles ekosystem

När Huawei presenterar den senaste flaggskeppsmobilen är det utan tillgång till Googles appar och tjänster för Android. Istället är det Huaweis mobila tjänster som gäller. Läs mer

31

Sex Batman-spel gratis i Epic Games Store

Det är dags att bli Batman i inte mindre än sex olika titlar! @johho tipsar om en ny gratiskampanj i Epic Games Store. Läs mer