Amazons neugierige Einkaufshilfe spioniert das Surfverhalten aus.

Wer Amazons Browser-Erweiterung 1Button App installiert hat, erlaubt dem Onlinekaufhaus einen intimen Einblick in sein Surfverhalten, wie der polnische Sicherheitsexperte Krzysztof Kotowicz dokumentiert hat. Die Erweiterung meldet die URLs der aufgerufenen Webseiten nicht nur an einen Amazon-Server, sondern auch an den Statistikdienst Alexa. Darüber hinaus protokolliert sie auch noch die Google-Nutzung und wertet die angezeigten Suchtreffer aus. heise Security konnte das Verhalten reproduzieren.

Amazons 1Button App für Google Chrome und Firefox ist durchaus nützlich. Sie verkürzt den Weg zur Amazon-Suche, zeigt aktuelle Angebote und Bestseller an. Wirft man nach der Installation jedoch einen Blick in den Netzwerktraffic, ist dieser positive Ersteindruck ganz schnell wieder verflogen – denn die App meldet jede angesurfte Webseite an Amazon. Jeder Seitenwechsel führt zu einer HTTPS-Anfrage an Amazon.de, die einen Parameter url mit der Adresse der angesteuerten Webseite enthält.

Guck mal, wer da surft: Amazon weiß, auf welchen Webseiten man sich bewegt.

Wer sich den englischsprachigen Beschreibungstext der Browser-Erweiterung gründlich durchliest, findet darin eine Hinweis auf die Datenschutzbestimmungen. Dort findet sich der folgende Hinweis: The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.

Zum einen verschweigt Amazon, dass die gesammelten Informationen auch übertragen werden. Zum anderen darf bezweifelt werden, dass die Daten nicht mit einem Kundenprofil verknüpft werden können. Die Browser-Erweiterung sendet nämlich stets den gleichen Cookie mit, über den Amazon seine Kunden auch beim Besuch des Shops zuverlässig identifiziert.

Der Datenhunger von Alexa macht auch vor URL-Parametern in HTTPS-Adressen nicht Halt.

Geht es um die Datenweitergabe an die Tocherfirma Alexa, ist sich Amazon offenbar sehr wohl darüber im Klaren, dass man darüber auf die Identität einer Person schließen kann: In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user. In den Datenpaketen fanden wir sämtliche URL-Parameter wieder, darunter auch Session-IDs, die in fremden Händen definitiv nichts zu suchen haben.



Links im Bild sind die Google-Suchergebnisse, rechts das von dem Amazon-Tool verschickte Datenpaket.

Die Alexa-Partnerschaft hört nicht bei der Übertragung der aufgerufenen Web-Adressen auf: Wenn man nach der Installation Google benutzt, sendet die Amazon-Erweiterung die personalisierten Google-Suchresultate an Alexa. Google wird inzwischen standardmäßig verschlüsselt über HTTPS ausgeliefert. Die Amazon-Erweiterung greift die personalisierten Suchergebnisse nach dem Entschlüsseln im Browser ab und sendet sie ungefragt an Alexa.

Welche Sites die Erweiterung anzapfen soll, erfährt sie über zwei Konfigurationsdateien, die sie vom Amazon-Server abruft. Zu dem Zeitpunkt, als der Sicherheitsexperte Krzysztof Kotowicz die Erweiterung unter die Lupe nahm, erfolgte die Übertragung unverschlüsselt über HTTP. Ein Angreifer im lokalen Netz kann die Übertragung daher leicht manipulieren und die Browser-Erweiterung anweisen, auch den Inhalt anderer HTTPS-Seiten auszulesen und an den Angreifer zu senden. Bei einem Test von heise Security wurden die beiden Dateien über HTTPS abgerufen – offenbar hat Amazon das Sicherheitsproblem zwischenzeitlich abgestellt. Das Datenschutzproblem bleibt jedoch bestehen.

Wir haben Amazon am Freitagnachmittag um eine Stellungnahme gebeten. Eine Antwort steht bislang noch aus. (rei)