Firefox add-on bespiedt gebruikers

Een populaire add-on voor Firefox blijkt gebruikers stiekem overal op het internet te volgen. Ook als iemand Privénavigatie aan heeft staan, houdt de plug-in bij welke websites hij bezoekt.

De populaire Firefox add-on Ant Video Downloader & Player houdt stiekem bij welke websites een gebruiker van de browser bezoekt. De add-on combineert die gegevens met een unieke code en stuurt het naar servers van het bedrijf dat de software heeft gemaakt. Dat blijkt uit onderzoek van beveiligingsspecialist Simon Newton.

Ook met anoniem browsen
Het geheime gedrag van de Video Downloader vindt ook plaats wanneer gebruikers de functie Privénavigatie in Firefox gebruiken. Deze functie is juist zo ontworpen dat bedrijven die bijvoorbeeld trackingcookies plaatsen, niet kunnen zien wat een gebruiker doet. Ook het anonimiseren van internetverkeer, bijvoorbeeld met Tor is niet voldoende om het spioneren te stoppen.

De malafide add-on werd gewoon aangeboden via de website van Mozilla. Daar werd de software ruim zevenduizend keer per dag gedownload en kreeg het een gemiddelde waardering van vier op vijf sterren. In een reactie op vragen van de Britse techsite The Register, laat de open-source stichting weten dat zij alle add-ons die geplaatst worden op de website eerst nakijkt. De plug-ins moeten voldoen aan een aantal criteria.

Niet verboden door Mozilla
Eén van die criteria is dat de software duidelijk moet maken aan gebruikers welke beveiligings- en privacyrisico’s zij zouden kunnen lopen bij het gebruik van de software en hoe zij zich daartegen kunnen beschermen. Volgens Mozilla verzendt Ant Video Downloader informatie over websites naar zijn servers om de ranking van iedere website bij te houden.

De open-source stichting verbiedt dat niet maar geeft wel aan dat het opgenomen moet zijn in de licentie van de add-on. Mozilla heeft contact opgenomen met de ontwikkelaar van de software en hem gevraagd dit aan te passen. Sinds vrijdagochtend is de plug-in niet langer te vinden op de website van Mozilla.

Id verandert niet
Newton ontdekte de tracking door Ant Video Downloader & Player toen hij problemen met een applicatie die hij ontwikkelde onderzocht. Met behulp van een packet sniffer ontdekte hij dat iedere http-aanvraag die zijn pc maakte, werd doorgestuurd naar de server rpc.ant.com. Die gegevens bevatte de website of server waar toegang mee werd gezocht, de tijd, browsergegevens en een persisent cookie met een per gebruiker unieke code.

De unieke identificatie van Newtons computer veranderde overigens niet toen hij de plug-in verwijderde en opnieuw installeerde. De enige manier om het tracking id te resetten is door Firefox volledig te resetten naar de standaardinstellingen en de extensie opnieuw te installeren in de browser.

'Ook locatie te zien'
De onderzoeker vindt het zorgelijk wat de add-on doet. Hij stelt dat de software ook het externe IP-adres bijhoudt en dus een profiel kan maken van waar hij allemaal heengaat met zijn laptop. Zo weten de bouwers van de add-on dus niet alleen wat hij doet, maar ook waar hij dat doet.

Wat Newton nog meer alarmeert is dat gegevens over hem en al zijn internetgedrag naar een server in New York wordt gestuurd. “Wat als ik een site bezoek waarvan ik niet wil dat iedereen dat weet? Wat als de Amerikaanse overheid Reality Check Network (het bedrijf waar de server staat) dagvaardt met de eis om alle informatie die op hun servers bekend is over mijn ip-adres, cookie of uniek ID vrij te geven”?