Profilbild-Tool wird zum Sicherheitsrisiko

Verräterische Netflix-Tools: Legale Spionage durch Adblocker

Netflix
Bildquelle: Kaspars Grinvalds / Shutterstock.com
LinkedInRedditWhatsApp

Security-Forscher entlarven Add-ons für Netflix und Adblocker, die Daten verkaufen. Millionen Nutzer sind betroffen. Und das alles ist völlig legal.

Eine Untersuchung des Sicherheits-Unternehmens LayerX Security hat eine besorgniserregende Praxis im Ökosystem der Browser-Erweiterungen aufgedeckt. Über 80 verschiedene Add-ons, die zusammen von mehr als 6,5 Millionen Menschen genutzt werden, sammeln systematisch Nutzer-Daten und verkaufen diese gewinnbringend weiter. Das Besondere an diesem Fall ist, dass die Praktiken in den oft ungelesenen Datenschutz-Bestimmungen der Erweiterungen explizit aufgeführt sind. Damit bewegen sich die Anbieter in einem legalen Rahmen, obwohl die Nutzer oft nichts von der kommerziellen Verwertung ihrer Privatsphäre ahnen.

Anzeige

71 Prozent der Erweiterungen im Chrome-Web-Store veröffentlichen keine Datenschutz-Richtlinie

Die Forscher untersuchten insgesamt 6.666 Datenschutz-Richtlinien verschiedener Erweiterungen in offiziellen Web-Stores. Dabei zeigten sich drastische Defizite bei der Transparenz und Einhaltung von Sicherheits-Standards. Etwa 71 Prozent aller Erweiterungen im Chrome-Web-Store veröffentlichen überhaupt keine Datenschutz-Richtlinie. Bei den untersuchten Programmen, die Daten aktiv verkaufen, klafft zudem oft eine große Lücke zwischen der Kurz-Beschreibung im Store und dem eigentlichen Rechts-Text. Ein Beispiel hierfür ist die Erweiterung Dashy-New-Tab. Im Web-Store gab das Tool an, keine Daten zu verkaufen, während die offizielle Richtlinie den Verkauf und die Weitergabe ausdrücklich bestätigte. Solche Diskrepanzen erschweren es selbst informierten Anwendern, eine fundierte Entscheidung über die Installation zu treffen.

Tool zur Profilbild-Einstellung bei Netflix wird zum Sicherheitsrisiko

Hinter vielen scheinbar harmlosen Werkzeugen stecken professionelle Netzwerke von Entwicklern. Die Untersuchung identifizierte einen einzelnen, anonym bleibenden Anbieter, der mindestens 24 Erweiterungen für Plattformen wie Netflix, Hulu oder Disney-Plus betreibt. Diese Tools bieten Funktionen an, die auf den ersten Blick nützlich erscheinen. Dazu gehören die Möglichkeit, individuelle Profilbilder für Netflix festzulegen, Werbung bei Prime-Video automatisch zu überspringen oder Streams in einem Bild-in-Bild-Modus anzuzeigen.

Insgesamt erreicht dieses Netzwerk fast 800.000 Nutzer. Die dabei erhobenen Daten gehen weit über das notwendige Maß hinaus. Die Erweiterungen erfassen die komplette Streaming-Historie, Inhalts-Präferenzen und sogar Informationen über Plattform-Abonnements. Besonders kritisch ist, dass auch demografische Daten wie Alter und Geschlecht gesammelt werden. Sollten diese Informationen nicht direkt vorliegen, gleicht der Anbieter die E-Mail-Adresse des Nutzers mit externen Datenbanken ab, um das Profil zu vervollständigen. Die Berichte werden anschließend an Inhalts-Anbieter, Studios und Marketing-Agenturen veräußert.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Gesundheitszustand wird abgeleitet

Besonders paradox ist der Befund bei Programmen, die eigentlich die Privatsphäre der Nutzer vor externem Tracking schützen sollen. Die Forscher identifizierten mindestens zwölf Adblock-Erweiterungen, die sich das Recht vorbehalten, Nutzer-Daten zu vermarkten. Ein prominentes Beispiel ist Stands-AdBlocker mit rund drei Millionen Nutzern. Das Tool verkauft Browser-Daten zu Zwecken der Markt-Analyse an Dritt-Anbieter. Noch weiter geht Poper-Blocker, eine Erweiterung mit zwei Millionen Nutzern. Hier werden Identifikatoren, Browseraktivitäten und ganze Verhaltensprofile verarbeitet. Aus den besuchten URLs werden laut dem Bericht von LayerX-Security sogar höchst sensible Informationen wie der Gesundheitszustand, religiöse Überzeugungen oder die sexuelle Orientierung abgeleitet. Da diese Informationen aus dem Surf-Verhalten gefolgert werden, entstehen detaillierte Profile, die für Werbetreibende von enormem Wert sind.

Risiken für Unternehmen durch B2B-Erweiterungen

Fast 30 der identifizierten Programme, die Nutzer-Daten verkaufen, sind speziell als Werkzeuge für den geschäftlichen Einsatz konzipiert. Dazu gehören beispielsweise Sales-Intelligence-Tools, die auf Firmen-Rechnern eingesetzt werden. Wenn Mitarbeiter diese Erweiterungen nutzen, fließen interne URLs, Informationen aus SaaS-Dashboards und detaillierte Forschungs-Aktivitäten direkt in kommerzielle Datenbanken ab. Das Risiko besteht hierbei weniger darin, dass die Nutzer getäuscht werden, sondern dass sensible Unternehmens-Daten über einen Kanal abfließen, der oft nicht überwacht wird. Wettbewerber können diese Informationen anschließend völlig legal erwerben und für ihre eigenen Strategien nutzen. Die Forscher warnen davor, dass Browser-Erweiterungen ein unterschätztes Einfallstor für Wirtschafts-Spionage darstellen können.

Sicherheits-Regeln und Empfehlungen für den Schutz der Privatsphäre

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, weist in seinen regelmäßigen Empfehlungen zur Browser-Sicherheit darauf hin, dass Erweiterungen weitreichende Berechtigungen besitzen. Viele Add-ons fordern den Zugriff auf alle Daten der besuchten Webseiten an, was technisch notwendig ist, um Inhalte zu verändern oder zu filtern. Genau diese Berechtigung wird jedoch missbraucht, um das Surf-Verhalten lückenlos aufzuzeichnen. Das BSI rät dazu, nur unbedingt notwendige Erweiterungen zu installieren und deren Herkunft sowie die Datenschutz-Bestimmungen genau zu prüfen. Besonders bei kostenlosen Tools, die einen hohen Mehrwert versprechen, sollte die Frage nach dem Geschäfts-Modell des Anbieters gestellt werden. Oft sind die Daten der Nutzer die eigentliche Währung, mit der die Entwicklung finanziert wird.

Experten raten Anwendern dazu, die Liste ihrer installierten Erweiterungen regelmäßig zu kontrollieren und ungenutzte Add-ons konsequent zu entfernen. Wenn eine Datenschutz-Richtlinie ungewöhnlich lang oder kompliziert formuliert ist, dient dies oft dazu, die Daten-Sammelwut des Programms zu verschleiern. Für Unternehmen ist es ratsam, verbindliche Richtlinien für die Nutzung von Browser-Erweiterungen einzuführen. Automatisierte Monitoring-Systeme können dabei helfen, den Abfluss von internen Daten über den Browser zu erkennen und zu unterbinden. Es gilt die Grundregel, dass ein Adblocker mit einer langen und undurchsichtigen Datenschutz-Erklärung mit Vorsicht zu genießen ist. Eine gute Alternative sind bekannte Open-Source-Lösungen, deren Code öffentlich einsehbar ist und die eine klare Kante gegen den Verkauf von Nutzer-Daten zeigen.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Kitkat, Shutterstock
3. Mai 2026
KitKat-Hülle blockiert Handysignale für echte Pausen
Netflix
3. Mai 2026
Verräterische Netflix-Tools: Legale Spionage durch Adblocker
KI, ki in hr, ki im personalwesen, ki personalwasen, ki hr, HR, Human Ressources
3. Mai 2026
KI-Nutzung in Deutschland: Jeder Dritte nutzt Algorithmen wöchentlich
Ki-Arbeitsplatz
3. Mai 2026
KI im Unternehmen: Warum Technik allein keine Produktivität schafft

Weitere Artikel

KI-Spionage bei Bitwarden und Checkmarx: Hacker kapern Entwickler-Tools
Wie SMS-Abzocke per CAPTCHA Handykosten explodieren lässt
Kritische Sicherheitslücke ermöglicht Root-Zugriff auf Millionen Domains
Staats-Hacker nutzen Schwachstellen in Windows und ConnectWise
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.