Eine aktuelle Sicherheitsuntersuchung von Browser-Erweiterungen für Google Chrome hat 287 Add-ons identifiziert, die unbemerkt den vollständigen Browserverlauf an Drittunternehmen übertragen. Betroffen sind nach Schätzung des Forschers mehr als 37,4 Millionen Installationen – ein Volumen, das die Analyse von Surfverhalten im globalen Maßstab ermöglicht.
Automatisierte Sicherheitsanalyse deckt Datenabfluss in Chrome-Erweiterungen auf
Für die Untersuchung kam ein automatisierter Teststand auf Basis von Docker zum Einsatz, in dem ein Chromium-Browser mit integriertem Man-in-the-Middle-(MITM)-Proxy betrieben wurde. Ein MITM-Proxy schaltet sich zwischen Browser und Zielserver und kann so verschlüsselten HTTPS‑Verkehr entschlüsseln und inspizieren, ohne dass dies für den Nutzer sichtbar ist.
Das System erzeugte synthetische Browseraktivität, indem es einen definierten Pool von Websites aufrief. Anschließend wurde der ausgehende Netzwerkverkehr mit den tatsächlich aufgerufenen URLs abgeglichen. Auf diese Weise ließen sich Erweiterungen identifizieren, die exakte Adressen besuchter Seiten – inklusive Suchparameter und Tracking-IDs – an externe Server sendeten.
Insgesamt wurden rund 32.000 Chrome-Erweiterungen aus dem offiziellen Chrome Web Store getestet. Das Ergebnis: Mehr als 30 Unternehmen und verbundene Strukturen wurden als Empfänger der gesammelten Daten identifiziert.
Wer steckt hinter dem Tracking – Unternehmen und prominente Erweiterungen
Unter den Organisationen, die Daten über das Surfverhalten erhalten, werden unter anderem Similarweb, Semrush, Alibaba Group und ByteDance genannt, außerdem die mit Similarweb verbundene Firma Big Star Labs. Ein Teil der Erweiterungen wird formal von kleinen oder unbekannten Entwicklern veröffentlicht, fungiert aber in der Praxis als Datenzulieferer für größere Analyse-Netzwerke.
Zu den betroffenen oder im Fokus stehenden Erweiterungen zählen unter anderem:
• Stylish – zur Anpassung des Designs von Websites;
• Ad Blocker: Stands AdBlocker und Poper Blocker – Werbe- und Pop-up-Blocker;
• CrxMouse – Erweiterung für Mausgesten;
• SimilarWeb: Website Traffic & SEO Checker – das offizielle Similarweb-Add-on zur Traffic-Analyse.
Für etwa 20 Millionen Installationen konnte der finale Empfänger der Daten nicht eindeutig zugeordnet werden. Hier ist davon auszugehen, dass Teile des Traffics an Briefkastenfirmen oder anonyme „Partnernetzwerke“ weitergeleitet werden, die als Datendrehscheiben dienen.
Technische Funktionsweise: Berechtigungen, Verschleierung und AES‑256‑Verschlüsselung
Die meisten identifizierten Erweiterungen treten als harmlos wirkende Helfer auf – etwa für Shopping, Produktivitäts-Tools, Design-Anpassungen oder Werbeblockierung. Bei der Installation verlangen sie häufig Zugriff auf die Browserhistorie (Permission: history), oft ohne klar zu erklären, wofür diese weitreichende Berechtigung benötigt wird.
Ein Teil der Add-ons verschleiert die übertragenen Daten, indem sie URLs z. B. in Base64 kodieren oder mittels AES‑256 verschlüsseln. Für Endnutzer ist dies nicht erkennbar. Ohne MITM-Analyse sehen Netzwerk-Logs dann nur wie legitime, verschlüsselte API-Aufrufe aus, was die Erkennung von Datenabflüssen erheblich erschwert.
Datenschutz, Einwilligung und das Geschäftsmodell hinter dem Browser-Tracking
Der Datensammelmechanismus ist in einigen Fällen formal in den Datenschutzerklärungen der Erweiterungen dokumentiert. Diese sind jedoch häufig in juristisch komplexer Sprache gehalten und nutzen sehr weite Formulierungen, sodass Nutzer die Tragweite ihrer Einwilligung kaum überblicken.
Similarweb etwa gibt an, Daten auf der Client-Seite zu anonymisieren, weist in seiner Datenschutzdokumentation jedoch gleichzeitig darauf hin, dass die erfassten Informationen personenbezogene und vertrauliche Inhalte umfassen können – abhängig von Suchanfragen und besuchten Websites. Zudem betont das Unternehmen in einer Finanzberichterstattung vom 27. Februar 2025, dass seine Plattform teilweise auf Daten aus Browser-Erweiterungen und mobilen Apps basiert.
Aus technischer Sicht werden die Erweiterungen damit zu einem systematischen Kanal zur Exfiltration von Nutzerdaten, aus denen anschließend kommerzielle Markt- und Wettbewerbsanalysen erstellt werden. Die oft zitierte Formel, dass bei kostenlosen, proprietären Diensten häufig der Nutzer selbst das Produkt ist, findet hier eine sehr konkrete Ausprägung.
Risiken für Privatsphäre und Unternehmenssicherheit
Die Sammlung des kompletten Browserverlaufs ist weit mehr als ein abstraktes Datenschutzthema. Aus einem solchen Datenpool lassen sich:
- detaillierte Persönlichkeitsprofile ableiten – Interessen, berufliches Umfeld, ungefähres Einkommensniveau;
- gesundheitliche, finanzielle und private Anliegen rekonstruieren, etwa durch Besuche von Banken-, Klinik- oder Beratungsseiten;
- Aktivitäten von Mitarbeitenden in Unternehmen und Behörden nachvollziehen, was Angriffsflächen für Social Engineering, Konkurrenzanalyse oder Spionage eröffnet.
Bekannte Fälle wie frühere Datensammel-Skandale rund um Browser-Add-ons (etwa bei alten Versionen von Stylish oder dem Dienst „Web of Trust“) zeigen, dass solche Informationen gezielt monetarisiert oder missbraucht werden können, sobald sie einmal gesammelt wurden.
Empfehlungen: So reduzieren Nutzer und Organisationen das Risiko
Um den Angriffsraum durch Browser-Erweiterungen zu begrenzen, sollten folgende Grundsätze beachtet werden:
- Regelmäßiger Erweiterungs-Audit: Installierte Add-ons prüfen und alles entfernen, was nicht zwingend benötigt wird.
- Berechtigungen kritisch prüfen: Besonders sensibel sind history, tabs und webRequest, da sie tiefen Einblick in Surfverhalten und Datenströme erlauben.
- Bevorzugung von Open-Source-Erweiterungen: Add-ons mit offenem Quellcode können von der Community geprüft und leichter auditiert werden.
- Trennung von Arbeits- und Privatnutzung: In Unternehmensumgebungen sollten Erweiterungen auf freigegebene Whitelists beschränkt und riskante Add-ons in produktiven Browsern untersagt werden.
- Separate Profile oder Browser: Für „risikoreiche“ Erweiterungen ein eigenes Browserprofil oder einen separaten Browser verwenden, der keinen Zugriff auf interne Systeme oder sensible Konten hat.
Die Untersuchung der 287 Chrome-Erweiterungen macht deutlich, wie schmal die Grenze zwischen nützlichem Tool und umfassendem Tracking-Werkzeug ist. Im Zusammenspiel von Entwicklern, Plattformbetreibern und Analysefirmen entsteht ein Ökosystem, in dem sich Datenströme für Außenstehende nur schwer nachvollziehen lassen. Nutzer und Organisationen können ihre Angriffsfläche jedoch spürbar reduzieren, indem sie Erweiterungen bewusst auswählen, Berechtigungen kritisch hinterfragen und klare Sicherheitsrichtlinien für Browser festlegen. Wer seine digitale Privatsphäre wahren will, sollte Browser-Add-ons nicht als harmlose Helfer, sondern als potenziell vollprivilegierte Softwarekomponenten behandeln – und sie entsprechend sorgfältig kontrollieren.
