Nul
Firefox is rustig verwijderd van een add-on van een lijst van aanbevolen browser bouten-op vermeld op de Firefox officiële blog na een onderzoeker ontdekte dat de software was heimelijk te loggen browser geschiedenis.
De add-on genaamd “Web Security,” wordt beschreven als een dienst die “uitgebreide real-time bescherming en is gebaseerd op geavanceerde databases” om gebruikers te beschermen tegen wordt bespied tijdens het surfen, de dreiging van malware en phishing.
Ontwikkeld door de duitse firma Creatieve Software Oplossingen, Web Security heeft bewezen populair te zijn bij meer dan 220.000 mee installeert en een gemiddelde beoordeling van 4.5 uit 5.
Vanwege de hoge waardering en populariteit, Firefox opgenomen in de add-on in een roundup lijst vorige week geplaatst op de officiële Firefox blog.
De collectie was oorspronkelijk opgenomen 14 add-ons met betrekking tot privacy en beveiliging. Er zijn nu slechts 13 op de lijst op het moment van schrijven. Er is echter geen opmerking of status met betrekking tot de tool verwijderd.
Wanneer het artikel werd gepost op Reddit, uBlock Oorsprong ontwikkelaar Raymond “gorhill4” Hill zei:
“Met deze extensie, zie ik dat voor elke pagina die u laadt in je browser, is er een POST naar http://136.243.163.73/. De gepubliceerde gegevens is vervormd, misschien dat iemand de tijd hebben om de zaak verder onderzoeken.”
Een andere gebruiker kan worden afgeleid dat een aantal van de andere add-ons ook aan de track pagina bezoeken.
Als het gaat om de Veiligheid van het Web, de duitse security-onderzoeker Mike Kuketz zei in een blog-post (vertaald) dat de software stuurt een heleboel “wartaal” bij het bezoeken van een domein via een niet-gecodeerde HTTP-verbinding.”
TechRepublic: Waarom je moet gebruik maken van Firefox Test Pilot
Kuketz zei dat toen hij riep de URL van zijn blog, de transmissie niet alleen vond plaats via een niet-versleutelde kanaal op elk domein bellen of te wijzigen.
Een lezer vervolgens onversleuteld de ‘wartaal,’ de ontdekking dat deze informatie wordt vervolgens doorgestuurd naar een server in Duitsland.
“De bezochte URL evenals de eerder bezochte domein worden verzonden,” Kuketz zei. “En omdat dit gebeurt ook ongecodeerd (zonder HTTPS-of TLS), kan vrijwel iedereen gesneden verkeer en te brengen in de originele vorm.”
CNET: Firefox makers werken aan stem-gecontroleerde web browser zogenaamde Scout
Dit niet alleen kan worden beschouwd als excessief volgen door een privacy-toevoegen-op en buiten de grenzen van het lezen van Url ‘ s om gebruikers te waarschuwen voor kwaadaardige of phishing-website-domeinen, maar ook zonder enige bescherming voor de communicatie kanalen, gebruikers kunnen kwetsbaar zijn voor Man-in-The-Middle (MiTM) aanvallen en breder toezicht.
Spreken Bleeping Computer, een Creatieve Software Oplossingen woordvoerder zei:
“Een van de security aspecten omvat het controleren van de gevraagde website tegen een algemene blacklist, waardoor de communicatie tussen de klant en onze servers is onvermijdelijk is, terwijl wij houden het op een[n] absoluut minimum en het niet melden van deze mededeling. Onze Servers zijn allemaal in Duitsland, dus we zijn ook gebonden door de GDPR en gegevens uitsluitend te verwerken voor de opgegeven redenen.
Onze addon is ook verwerkt door Mozilla ‘ s strenge Controle personeel, die specifiek is goedgekeurd voor alle communicatie die plaatsvindt. Alle overgedragen gegevens moeten veilig communiceren, maar als we met deze privacy zeer serieus[ly], ik heb al op de hoogte van de ontwikkelaars om het probleem te onderzoeken bij de hand, te controleren en te verbeteren als dat kan.”
Zie ook: Instagram hack is het vergrendelen van honderden gebruikers accounts
Totdat de problemen zijn opgelost, gebruikers die bezorgd zijn over overmatige web-tracking zou moeten overwegen het uitschakelen van de add-on.
Update 11.04 UUR: EEN Mozilla-woordvoerder vertelde ZDNet:
“We hebben ontvangen bezorgdheid van de gemeenschap over de Veiligheid van het Web extensie, en zijn momenteel aan het onderzoeken die problemen. De verwijzing naar de extensie is verwijderd uit de blog post als onderdeel van het onderzoeksproces.”
Vorige en aanverwante dekking
Voormalig Microsoft engineer verzonden achter de tralies voor de rol in de ransomware afpersing regeling Adobe verhelpt kritieke code gebreken in de nieuwste patch update voor Microsoft Patch dinsdag: 60 kwetsbaarheden opgelost inclusief twee actieve exploits
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0