De populaire browserextensie Stylish steelt de browsegeschiedenis van de 2 miljoen gebruikers die het hebben geïnstalleerd, zo waarschuwt onderzoeker Robert Heaton. Via Stylish kunnen gebruikers het uiterlijk en de gebruikersinterface van websites aanpassen.

Vorig jaar januari werd de extensie echter van "bonus-spyware" voorzien die alle websites opslaat die de 2 miljoen gebruikers bezoeken, aldus Heaton in een analyse van de extensie. De browsegeschiedenis wordt samen met een unieke identifier naar de servers van SimilarWeb gestuurd, dat de nieuwe eigenaar van Stylish is. Het bedrijf kan op deze manier de acties van een individu aan één enkel profiel koppelen.

Voor gebruikers die op userstyles.org een Stylish-account hebben kan deze identifier aan een login-cookie worden gekoppeld. "Dit houdt niet alleen in dat SimilarWeb een kopie van je volledige browsegeschiedenis heeft, maar ook genoeg andere data bezit om deze geschiedenis in theorie te koppelen aan e-mailadressen en andere echte identiteiten", gaat Heaton verder.

De onderzoeker merkt op dat de spionagefunctionaliteit al algemeen bekend was sinds SimilarWeb de extensie overnam, maar hij het vorige week ontdekte toen hij met een andere website bezig was. "Het is geen nieuws dat browserextensies een securitynachtmerrie kunnen zijn. Het is zelfs niet genoeg om de huidige, welwillende eigenaar van een extensie te vertrouwen. Zelfs een welwillende eigenaar moet uiteindelijk geld verdienen en stille verkopen aan organisaties zoals Simpleweb zijn niet bijzonder", stelt Heaton. Hij adviseert gebruikers van Stylish om de extensie te verwijderen en een alternatief zoals Stylus te installeren.