Onderzoeker: Stylish-extensie steelt data 2 miljoen gebruikers
De populaire browserextensie Stylish steelt de browsegeschiedenis van de 2 miljoen gebruikers die het hebben geïnstalleerd, zo waarschuwt onderzoeker Robert Heaton. Via Stylish kunnen gebruikers het uiterlijk en de gebruikersinterface van websites aanpassen.
Vorig jaar januari werd de extensie echter van "bonus-spyware" voorzien die alle websites opslaat die de 2 miljoen gebruikers bezoeken, aldus Heaton in een analyse van de extensie. De browsegeschiedenis wordt samen met een unieke identifier naar de servers van SimilarWeb gestuurd, dat de nieuwe eigenaar van Stylish is. Het bedrijf kan op deze manier de acties van een individu aan één enkel profiel koppelen.
Voor gebruikers die op userstyles.org een Stylish-account hebben kan deze identifier aan een login-cookie worden gekoppeld. "Dit houdt niet alleen in dat SimilarWeb een kopie van je volledige browsegeschiedenis heeft, maar ook genoeg andere data bezit om deze geschiedenis in theorie te koppelen aan e-mailadressen en andere echte identiteiten", gaat Heaton verder.
De onderzoeker merkt op dat de spionagefunctionaliteit al algemeen bekend was sinds SimilarWeb de extensie overnam, maar hij het vorige week ontdekte toen hij met een andere website bezig was. "Het is geen nieuws dat browserextensies een securitynachtmerrie kunnen zijn. Het is zelfs niet genoeg om de huidige, welwillende eigenaar van een extensie te vertrouwen. Zelfs een welwillende eigenaar moet uiteindelijk geld verdienen en stille verkopen aan organisaties zoals Simpleweb zijn niet bijzonder", stelt Heaton. Hij adviseert gebruikers van Stylish om de extensie te verwijderen en een alternatief zoals Stylus te installeren.
Hopelijk krijgen ze een hoge boete, als genoeg mensen een klacht indienen...
Gebruik het met allemaal eigengemaakte filters, geen login bij de userstyles.org organisatie.
Toch zat het me niet lekker en in Palemoon kan ik geen Stylus gebruiken, dat werkt alleen in een moderne versie van (oa) Firefox. En ik wil het eigenlijk toch wel blijven gebruiken, erg handig om bepaalde veelgebruikte sites naar mijn wens in te richten.
Daarom heb ik api.userstyles.org toegevoegd aan de HOSTS file. Kan er niets meer daarheen gestuurd worden. Hopen dat ze geen andere adressen ervoor gaan gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
