Amazon 1Button Browser Erweiterung gibt viele Nutzerdaten weiter

Heise.de berichtet, dass die Installation der Amazon Browser-Erweiterung, die 1Button App (Firefox-Erweiterung), dem Internetriesen die Möglichkeit gibt, einen detaillierten Einblick in das Surfverhalten seiner Kunden zu geben. Der polnische Sicherheitsexperte Krzysztof Kotowicz habe dies dokumentiert.

Amazon 1Button-App gibt viele Nutzerdaten weiter

Amazon 1Button-App gibt viele Nutzerdaten weiter

Die URLs der aufgerufenen Webseiten würden nicht nur an einen Amazon-Server, sondern auch an den Statistikdienst Alexa gemeldet. Die Erweiterung protokolliere ferner noch die Google-Nutzung und werte die entsprechenden Suchtreffer aus. heise Security konnte dieses Verhalten nachmachen.

Die 1Button App für Google Chrome und Firefox sei durchaus nützlich, so heise. Sie minimiere den Weg zur Amazon-Suche, zeige aktuelle Offerten und Verkaufsschlager an. Schaut man sich nach der Einrichtung den Netzwerktraffic genauer an, erkenne man, dass die Anwendung jede besuchte Webseite an Amazon weitergibt. Jeder Seitenwechsel führt zu einer HTTPS-Anfrage an Amazon Deutschland, die einen Parameter url mit der Adresse der aufgerufenen Webseite enthält.

Der Internetriese weiß daher genau, auf welchen Webseiten der Verbraucher unterwegs ist. Der englischsprachige Beschreibungstext zur Browser-Erweiterung weist auf die Datenschutzbestimmungen hin. Folgenden Hinweis findet man dort: „The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you”.

Amazon verheimlicht allerdings, dass die so gesammelten Auskünfte übertragen werden. Zudem ist es fraglich, ob die Daten nicht doch mit einem Kundenprofil verbunden werden können. Denn die Browser-Erweiterung schickt immer den gleichen Cookie mit. Hierüber kann Amazon seine Käufer auch beim Besuch der Plattform zuverlässig erkennen.

Was die Datenweitergabe an die Tocherfirma Alexa anbelangt, weiß Amazon anscheinend sehr wohl, dass man über Alexa auf die Identität einer Person schließen kann: „In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user“. In den Datenpaketen fand heise security alle URL-Parameter wieder, darunter auch Session-IDs, die definitiv nicht in die Hände Dritter gehören.

Die Kooperation mit Alex endet jedoch nicht bei der Übermittlung der besuchten Web-Adressen: Verwendet man nach der Installation Google, sendet die Amazon-Erweiterung die individuellen Google-Suchergebnisse an Alexa. Google wird mittlerweile standardmäßig codiert über HTTPS ausgeliefert. Die Amazon-Erweiterung greift die personalisierten Suchresultate nach der Decodierung im Browser ab und befördert sie ungefragt an Alexa.

Welche Seiten die Erweiterung anzapfen soll, erfährt sie über 2 Konfigurationsdateien. Diese ruft sie vom Amazon-Server ab. Als der Sicherheitsexperte Krzysztof Kotowicz die Erweiterung untersuchte, passierte die Übermittlung unverschlüsselt über HTTP. Ein Angreifer im lokalen Netz kann die Übertragung dadurch einfach manipulieren und der Browser-Erweiterung empfehlen, auch den Inhalt anderer HTTPS-Seiten auszulesen und an den Angreifer zu verschicken.

Zu dem Zeitpunkt als heise Security testete, wurden die beiden Dateien über HTTPS abgerufen. Anscheinend hat der Internetriese das Sicherheitsproblem mittlerweile abgestellt. Das Datenschutzproblem bleibt jedoch bestehen.

Heise hat Ende letzter Woche versucht, von Amazon eine Stellungnahme zu erhalten, die bisher noch nicht erfolgte.

Amazon 1Button Browser Erweiterung gibt viele Nutzerdaten weiter was last modified: by

Ähnliche Beiträge

Amazon führt vor Black Friday Augmented-Reality-Funktion für App ein Der Black Friday steht vor der Tür. An diesem Shopping-Event will jeder Händler so viele Kunden wie nur möglich anlocken. Amazon versucht es mit einer neuen Augmented-Reality-Funktion, die den Einkauf erleichtern soll. Amazon führt vor Black Friday Augmented-Reality-Funktion für App ein - ©Amazo...
Amazon.de Prime Visa Karte startet in Deutschland: 3% Bonuspunkte auf Einkäufe bei Amazon.... Die Amazon.de Prime Visa Karte ist ab sofort auch in Deutschland verfügbar. Prime-Mitglieder können die Kreditkarte von Amazon in Kooperation mit VISA und der Landesbank Berlin (LBB) unter Amazon.de/prime-visa bestellen und sich 3% Bonuspunkte auf ihre Einkäufe bei Amazon.de sowie 0,5% Bonuspunkte f...
Amazon stellt das neue Echo Show vor — mit besserem Klang und größerem Bildschirm Komplett neues Design, verbesserter Sound, ein beeindruckendes 10 Zoll HD-Display, 5-Megapixel-Kamera und integrierter Smart Home Hub / Per Sprachbefehl Inhalte von Prime Video streamen oder Musikvideos schauen, Rezepte mit Schritt-für-Schritt-Anleitungen nachkochen, Webseiten aufrufen und Tausende ...
Amazon startet den Prime Day 2018 am 16. Juli: Eineinhalb Tage mit weltweit über einer Mil... Nun ist es offiziell: Von Montag, dem 16. Juli, 12 Uhr bis zum 17. Juli 2018 um Mitternacht findet Amazons mit Spannung erwartetes, alljährliches Shopping-Event statt: der Prime Day. Der Aktionstag ist diesmal größer als je zuvor. Von 30 Stunden im letzten Jahr verlängert Amazon den Prime Day 2018 a...
Amazon stellt neues Tablet für Kinder vor: das neue Fire HD 10 Kids Edition Mit dem brandneuen Fire HD 10 Kids Edition stellt Amazon heute das neueste Mitglied seiner preisgekrönten Fire Tablet Reihe vor — Amazons größtes und schnellstes Tablet, das von Grund auf für Kinder entwickelt wurde. Das Fire HD 10 Kids Edition basiert auf drei Grundgedanken: Kinder wollen ein ...
Amazon launcht neue Kindle App Amazon präsentiert heute die neue Kindle App, mit der immer und überall auf Smartphones und Tablets gelesen werden kann – ganz wie im Buch. Die Kindle App wurde speziell für Buchliebhaber konzipiert und umfasst viele nützliche Features wie das nahtlose Umblättern, eine Bibliothek, einen Büchershop u...

Ellen Schmitt-Fleckenstein, Holzkirchen

Beitrag teilen:


Kategorien: Amazon

Schlagworte:, , , , , ,