Wenn eine Chrome-Erweiterung installiert, aber deaktiviert ist, kann sie mich trotzdem ausspionieren?

50

Angenommen, eine Chrome-Erweiterung ist deaktiviert und verfügt über die folgenden Berechtigungen: "Alle Ihre Daten auf den von Ihnen besuchten Websites lesen und ändern" und "Browserverlauf lesen" oder ähnliche Tracking-Berechtigungen.

Können diese Chrome-Erweiterungen auch dann auf diese Berechtigungen zugreifen oder Sie auf andere Weise ausspionieren, wenn sie deaktiviert sind?

Nehmen wir an, Sie sollten diese Nebenstellen ausgeschaltet lassen, dann aber für 5 Sekunden oder bis zu 10 Minuten einschalten. Ist es möglich, dass sie Ihren gesamten Browserverlauf in dieser kurzen Zeitspanne zu den Entwicklern hochladen können, wenn sie "Ihren Browserverlauf lesen" können?

Diese Frage gilt auch für Browser wie Firefox.

google-chrome  permissions  google-chrome-extensions  browser-addons  privacy 
Michael d
quelle
4
Die Frage ist, ob eine Erweiterung einen Browser so modifizieren kann, dass er entweder den Ausschaltknopf dazu bringt, im Grunde nichts zu tun (nur "aus" zu erscheinen) oder sich zu einem späteren Zeitpunkt wieder einzuschalten. Wenn die Antwort entweder ja ist, dann ist die Antwort auf das oben Gesagte auch ja. (Ich überlasse es denen, die mehr wissen als ich).
SSight3
6
@ SSight3 Soweit ich weiß, dürfen Erweiterungen nicht auf der Seite chrome: // extensions ausgeführt werden. Daher kann eine Erweiterung nicht den Status des aktivierten / deaktivierten Umschalters vortäuschen.
Josh
2
Die tägliche Nutzung von Google - Facebook, Twitter, was auch immer - bietet weitaus mehr Möglichkeiten für die Sammlung von Informationen als einige neu gestartete Chrome-Erweiterungen. Nicht dass der Autor hinter dieser Erweiterung keine großartigen Ambitionen haben könnte, aber…
can-ned_food
4
Bitte markieren Sie eine Frage nicht als beantwortet und einen Tag später als unbeantwortet und bearbeiten Sie sie, um eine neue Frage zu stellen. Wenn Sie Ihre Meinung zu dieser Frage ändern, sollten Sie wirklich eine neue separate Frage stellen, sobald Sie eine Antwort akzeptiert haben.
LPChip
2
@ can-ned_food Es ist erwähnenswert, dass MITM von jedem Ort aus bereitgestellt werden kann (HTTP-Sniffer, zweifelhafte Zertifizierungsstelle, schlechte DNS, böswilliger WLAN-Hotspot, Router mit Hintertür usw.) und wenn eine Person Bedenken in Bezug auf einen Browser hat von einer Firma, die für Datamining berüchtigt ist, ist "sind meine Erweiterungen undicht?" Ich vermute stark, dass sie viel größere Probleme übersehen könnten.
SSight3

Antworten:

58

Wenn eine Erweiterung deaktiviert ist, wird sie nicht in den Speicher geladen und kann daher nichts tun.

Wenn Sie eine Erweiterung aktivieren, hat sie Zugriff auf Ihren gesamten Browserverlauf. Wenn eine Erweiterung dies wünscht, kann sie Ihren gesamten Verlauf an den Server senden.

Es hängt von der Erweiterung ab, ob dies wirklich der Fall ist. Erweiterungen vom Typ Spyware werden in der Regel nur eine Website übermitteln, auf der Sie gerade surfen. Es ist jedoch reine Spekulation, ob eine Erweiterung funktioniert oder nicht.

Wenn Sie sicher sein und nicht möchten, dass eine Erweiterung Ihre Daten an ihren Server überträgt, schalten Sie sie niemals ein.

LPChip
quelle
2
@wjandrea Es ist möglich, den Quellcode von Chrome-Erweiterungen ( .crxPaketen) zu lesen .
Rahuldottech
7
@DavidMulder Um pedantisch zu sein, hat Firefox das Chrome-Erweiterungssystem größtenteils kopiert, weil es einfacher war - sie haben einen großen Teil ihrer Codebasis neu geschrieben, und die vorhandenen Erweiterungs-APIs waren eng mit den Interna verknüpft, so dass es schwierig war, weiterzuarbeiten. Die Notwendigkeit, jede Erweiterung neu zu schreiben, erleichterte ihr Leben, und die Hoffnung ist, dass sie es nicht noch einmal tun müssen, da die neue API restriktiver und von der internen Implementierung getrennt ist. Das Berechtigungsmodell ist ein netter Bonus, aber da die meisten Erweiterungen Zugriff auf das DOM jeder Seite benötigen, die Sie anzeigen, wird dadurch nicht viel verhindert.
IMSoP
2
@DavidMulder: Sie gehen davon aus, dass Google alle Ihre Daten an erster Stelle hat.
Eric Duminil
4
@DavidMulder Wir wissen nicht, was Chrome tut, weil wir den Code nicht sehen können. Zu behaupten, dass Chrome "Ihre Daten in keiner Weise an Google weitergibt", ist offensichtlich falsch. Bei der Eingabe einer URL in die Adressleiste habe ich den Verkehr zu und von Google-Servern gemessen, bevor ich die Eingabetaste gedrückt habe.
wizzwizz4
2
@ wizzwizz4 Es ist möglicherweise erwähnenswert, dass SRWare Iron (eine datenschutzorientierte Version von Chrome) einige ... besorgniserregende Funktionen von Chrome ausführlich beschreibt .
SSight3
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.