Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Säkerhetsrapport avslöjar dataläckor hos webbläsartillägg

Svenska Dagens Nyheter rapporterar att tillägg i webbläsarna Chrome och Firefox läckt information om användare i flera månaders tid.

Tillägg i webbläsare används populärt för att utöka funktionaliteten i en webbläsare eller göra livet på internet smidigare. Dessa tillägg kan dock innehålla säkerhetsbrister eller dolda angrepp. Ett exempel på det sistnämnda har Dagens Nyheter avtäckt i en artikel som beskriver hur webbläsartillägg för Chrome och Firefox har läckt svenskars surfhistorik i flera månader.

Rapporten beskriver att den läckta informationen drabbat cirka 40 000 svenskar som använder tillägg till webbläsarna Chrome och Firefox. Dessa tillägg har då skickat vidare användarens surfhistorik vilket innefattar allt från webbaddresser till datum, filnamn, bredbandsoperatör och mycket mer. Informationen har även avslöjat saker som dokumenthantering på molntjänster, information om barn med speciella behov – och mycket mer.

browser_extension_warning_sv-SE.jpg

Då tilläggen även kan skicka information om webbsidor som använder krypterade https-anslutningar har läckan drabbat personer som jobbar i en organisations säkrade interna nätverk, och kringgår därmed eventuella säkerhetsmekanismer som organisationen upprättat. Informationen har samlats i olika databaser som illvilliga företag sedan säljer vidare.

Webbläsartilläggen som läckt användardata:

  • Hover Zoom

  • Speakit

  • Superzoom

  • Savefrom.net Helper

  • Fairshare Unlock

  • Panelmeasurement

  • Branded Surveys

  • Panel Community Surveys

DN:s rapport utfördes i samarbete med den amerikanska säkerhetsexperten Sam Jadali. Under arbetet med kartläggningen av säkerhetsbristerna i webbläsartillägg gjorde Sam Jadali sig själv till ett "offer" genom att skapa konton hos de företag vars tillägg misstänktes läcka användardata. Inom loppet av en timme hade information från tilläggen skickats vidare till de databaser som sålde den läckta informationen.

Enligt säkerhetsexperten Karl Emil Nikka bör användare vara återhållsamma med hur många tillägg som installeras i webbläsaren.

Webbadresser avslöjar mer än bara användarnas surfhistorik. Webbadresser kan innehålla känsliga parametrar, till exempel delnings-ID:n eller rent av filnamn. I fel händer avslöjar webbadresser på så sätt mycket mer än bara vilka webbplatser som användarna besöker.

Det är tyvärr inte första gången som webbläsartillägg missbrukar sin åtkomst till användarnas webbläsare. Google, Mozilla och de andra webbläsarutvecklarna har svårt att stoppa annat än uppenbart skadliga tillägg. Vad tilläggsutvecklarna gör med insamlad data ligger utanför webbläsarjättarnas kontroll.

Google lanserade förra månaden ett nytt belöningsprogram för de som anmäler webbläsartillägg med bristande eller missvisande hantering av användardata. Detta är en bra åtgärd, men den är reaktiv av sin natur. Det bästa vi användare kan göra är därför att ha så få webbläsartillägg som möjligt installerade och endast installera tillägg från trovärdiga utgivare. Vi bör komma ihåg att varningen som visas vid installation av webbläsartillägg finns där av en anledning (”tillägget kan läsa och ändra all data på de webbplatser du besöker”).

De påverkade tilläggen i DN:s rapport har avlägsnats men i vanlig ordning är nya tillägg med säkerhetsbrister att vänta framöver. Rekommendationen om återhållsamhet från Nikka är därför en permanent sådan.

Läs mer om säkerhetsläckor:

Erbjudande: SweClockers Wireframe No. 1 & Turbo Power

Två stilsäkra t-shirtar i begränsad upplaga. Nu i paket med rabatterat pris! Endast förbokning.

Köp här!

Skicka en rättelse
6

Digitala museet Noclip går bakom kulisserna på klassiska spelbanor

Vad döljer sig egentligen strax utanför bild i dina gamla favoritspel? Webbplatsen Noclip bjuder på en interaktiv resa som besvarar just detta. Läs mer

36

Razer Core X Chroma – kan en Ultrabook bli spelmaskin?

Bärbara datorer för jobb och nytta orkar sällan med moderna spel. Med ett externt grafikkort kan det bli annat ljud i skällan – eller? Häng med när Kenneth snabbtestar! Läs mer

20

Corsair tar populära DDR4-serien Vengeance LPX till 4 866 MHz

Den långlivade och populära minnesserien Vengeance LPX släpps nu i flaggskeppsutförande med frekvenser om 4 866 MHz, något som ackompanjeras av en saftig prislapp. Läs mer

1

Razer lanserar Huntsman Tournament Edition – kompakt tangentbord med optiska brytare

Tangentbord i tenkeyless-format är en populär kompromiss mellan funktionalitet och storlek. Nu utökar Razer Huntsman-familjen med ett sådant tangentbord, utrustat med linjära optiska brytare. Läs mer

20

Retro i galleriet – AMD 486-bygge för LAN

Ryzen i all ära – på den gamla goda tiden gällde 486, vare sig det var AMD, Intel eller Cyrix som stod för fiolerna. Häng med när pa1983 bygger för retro-LAN. Läs mer

10

Gigabyte röjer styrkretsarna Z490, H470, Q470, B460 och H410 för Intel Comet Lake

Tillverkaren Gigabyte har registrerat en lång rad moderkort i en databas. Hos samtliga syns tidigare okända styrkretsar som ska släppas tillsammans med framtida processorer från Intel. Läs mer

118

Actionskjutaren Borderlands 3 ute nu! Har du hunnit testa?

Under året har Gearbox avtäckt allt fler detaljer om den tredje delen i Borderlands-serien, som nu lanserats. På menyn står skruvad action och den utmärkande grafiken. Hoppa in i forumet och diskutera det färska storspelet! Läs mer

20

Testpilot: Phanteks Eclipse P400A – mesh är det nya svarta

Välkända Phanteks tar omtyckta Eclipse P400 och uppdaterar denna med RGB-fläktar samt perforerad front. Testpiloten Daniel "Dinoman" Ördén tittar närmare på nya Eclipse P400A. Läs mer

34

Ska du knipa biljett till The International 2020?

Dota 2-turneringen The International kommer lite oväntat till Stockholm – en stor snackis bland intresserade svenskar. Kommert du försöka köpa biljett? Läs mer

14

Fredagspanelen 178: AMD:s boostfrekvenser, RX 5700 XT från partners och nytt från Apple

Mer boost-snack än du visste du ville ha, senaste nytt från testlabbet och Jonas funderingar om Apple Watch – allt i senaste avsnittet av Fredagspanelen, på en Youtube-kanal nära dig klockan 19:00. Läs mer

I samarbete med Arlo
31

Yoshman testar övervakning av hemmet med kameror från Arlo

Efter att ha gått igenom grunderna är det dags för medlemmen Yoshman att sätta upp ett smart övervakningssystem och fullständigt nörda ned sig bland funktionerna. Läs mer

207

SweClockers Meet & Geek i Göteborg ikväll – hugg de sista platserna!

Sjukdomar och andra avhopp har gjort att ett tidigare fullbokat Meet & Geek i Göteborg har några platser över. Ses vi på GG Bar ikväll klockan 18:00? Läs mer