SIKKERHET

Populær nettleser-utvidelse sendte søkehistorikk til tredjeparter

Stylish er sistemann ut blant problematiske nettleserutvidelser.
Stylish er sistemann ut blant problematiske nettleserutvidelser. Foto: Skjermdump, digi.no
9. juli 2018 - 05:00

Blant andre nettstedet Bleeping Computer og Ars Technica rapporterer at både Google, Mozilla og Opera nå har trukket en populær utvidelse til deres respektive nettlesere. Årsaken skal være at utvidelsen, kalt «Stylish», har loggført og delt søkehistorikk med tredjeparter i det skjulte.

Bakgrunnen for bannlysingen av utvidelsen er en nylig publisert rapport fra en programvareutvikler ved navn Robert Heaton. 

Stylish er en utvidelse som lar brukere endre det visuelle utseendet til nettsider på en rekke ulike måter, for eksempel ved å endre farger for å gjøre nettsidene lettere og lese eller sprite opp med diverse estetiske elementer. Utvidelsen skal ha blitt lastet ned rundt to millioner ganger.

Ble utstyrt med spionvare

I 2016 ble Stylish solgt til analyseselskapet SimilarWeb av den opprinnelige utvikleren. SimilarWeb tilbyr markedsanalyse-verktøy for bedriftskunder som blant annet gir innsikt i trafikkvolum på nettsider og hvordan folk bruker nettsider.

Etter overtakelsen skal utvidelsen ha begynt å endre seg til det verre ved at den har blitt «oppgradert» med spionvare som sender nettaktiviteten til brukere tilbake til utviklernes servere. 

Heaton dekodet dataene som ble sendt til Stylish-utvikleren og fant blant annet loggføring av nettsider. <i>Foto:  Robert Heaton</i>
Heaton dekodet dataene som ble sendt til Stylish-utvikleren og fant blant annet loggføring av nettsider. Foto:  Robert Heaton

Gjennom egen etterforskning oppdaget Heaton at Stylish sendte store mengder tildekkede data til userstyles.org, en nettside som kontrolleres av SimilarWeb. Etter å dekodet dataene oppdaget han at de inneholdt store mengder detaljerte opplysninger, deriblant samtlige URL-adresser han besøkte, Google-søkene fra søkevinduet og en unik identifikator.

Ifølge Heaton skal Stylish ha samlet nettleserhistorikk fra Chrome-brukere siden januar 2017, og fra Firefox-brukere siden mars 2017. Saken skal ha blitt rapportert om tidligere, men verken Google, Mozilla eller Opera har altså reagert før nå, etter at Heaton dokumenterte sine funn. Ingen av selskapene har imidlertid kommentert saken i skrivende stund, ei heller Stylish-representanter.

For flere tekniske detaljer kan du sjekke ut hele rapporten til Robert Heaton. Som et alternativ til Stylish, som altså nå er fjernet fra nettbutikkene til alle de tre nettleserne, anbefaler Heaton et alternativ som heter Stylus, som byr på mye av den samme funksjonaliteten.

Les også: Her er Googles svar på avsløringen om at app-utviklere kan lese Gmail-meldingene dine »

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.