Amazon 1Button Browser Erweiterung gibt viele Nutzerdaten weiter

Heise.de berichtet, dass die Installation der Amazon Browser-Erweiterung, die 1Button App (Firefox-Erweiterung), dem Internetriesen die Möglichkeit gibt, einen detaillierten Einblick in das Surfverhalten seiner Kunden zu geben. Der polnische Sicherheitsexperte Krzysztof Kotowicz habe dies dokumentiert.

Amazon 1Button-App gibt viele Nutzerdaten weiter
Amazon 1Button Browser Erweiterung gibt viele Nutzerdaten weiter 1

Die URLs der aufgerufenen Webseiten würden nicht nur an einen Amazon-Server, sondern auch an den Statistikdienst Alexa gemeldet. Die Erweiterung protokolliere ferner noch die Google-Nutzung und werte die entsprechenden Suchtreffer aus. heise Security konnte dieses Verhalten nachmachen.

Die 1Button App für Google Chrome und Firefox sei durchaus nützlich, so heise. Sie minimiere den Weg zur Amazon-Suche, zeige aktuelle Offerten und Verkaufsschlager an. Schaut man sich nach der Einrichtung den Netzwerktraffic genauer an, erkenne man, dass die Anwendung jede besuchte Webseite an Amazon weitergibt. Jeder Seitenwechsel führt zu einer HTTPS-Anfrage an Amazon Deutschland, die einen Parameter url mit der Adresse der aufgerufenen Webseite enthält.

Der Internetriese weiß daher genau, auf welchen Webseiten der Verbraucher unterwegs ist. Der englischsprachige Beschreibungstext zur Browser-Erweiterung weist auf die Datenschutzbestimmungen hin. Folgenden Hinweis findet man dort: „The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you”.

Amazon verheimlicht allerdings, dass die so gesammelten Auskünfte übertragen werden. Zudem ist es fraglich, ob die Daten nicht doch mit einem Kundenprofil verbunden werden können. Denn die Browser-Erweiterung schickt immer den gleichen Cookie mit. Hierüber kann Amazon seine Käufer auch beim Besuch der Plattform zuverlässig erkennen.

Was die Datenweitergabe an die Tocherfirma Alexa anbelangt, weiß Amazon anscheinend sehr wohl, dass man über Alexa auf die Identität einer Person schließen kann: „In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user“. In den Datenpaketen fand heise security alle URL-Parameter wieder, darunter auch Session-IDs, die definitiv nicht in die Hände Dritter gehören.

Die Kooperation mit Alex endet jedoch nicht bei der Übermittlung der besuchten Web-Adressen: Verwendet man nach der Installation Google, sendet die Amazon-Erweiterung die individuellen Google-Suchergebnisse an Alexa. Google wird mittlerweile standardmäßig codiert über HTTPS ausgeliefert. Die Amazon-Erweiterung greift die personalisierten Suchresultate nach der Decodierung im Browser ab und befördert sie ungefragt an Alexa.

Welche Seiten die Erweiterung anzapfen soll, erfährt sie über 2 Konfigurationsdateien. Diese ruft sie vom Amazon-Server ab. Als der Sicherheitsexperte Krzysztof Kotowicz die Erweiterung untersuchte, passierte die Übermittlung unverschlüsselt über HTTP. Ein Angreifer im lokalen Netz kann die Übertragung dadurch einfach manipulieren und der Browser-Erweiterung empfehlen, auch den Inhalt anderer HTTPS-Seiten auszulesen und an den Angreifer zu verschicken.

Zu dem Zeitpunkt als heise Security testete, wurden die beiden Dateien über HTTPS abgerufen. Anscheinend hat der Internetriese das Sicherheitsproblem mittlerweile abgestellt. Das Datenschutzproblem bleibt jedoch bestehen.

Heise hat Ende letzter Woche versucht, von Amazon eine Stellungnahme zu erhalten, die bisher noch nicht erfolgte.