Code-Vivisektion
Wie Add-ons hinterrücks Affiliate-Geldströme umleiten können
Browser-Erweiterungen dürfen Code nachladen, URLs abrufen und Cookies schreiben. Das birgt enormes Missbrauchspotenzial. Nicht nur theoretisch, sondern auch ganz real, wie eine exklusive Analyse von c’t belegt.
Im vorherigen Artikel äußern wir den Verdacht, dass Affiliate-Provisionszuweisungen über Browser-Add-ons umgeleitet werden können – und das im großen Stil. Unseren Beobachtungen zufolge funktionierte das mit Browser-Erweiterungen, die ohne Wissen der Nutzer Code nachluden und Daten manipulierten.
Um die Masche zu verstehen, analysierten wir beispielhaft die Add-ons Wallet Protector für Firefox (Version 3.0.4) und Great Dealz für Chrome (Version 1.0.7), beide vom thailändischen Hersteller Saphire Max Media. Firefox- und Chrome-Erweiterungen nutzen mit kleinen Abweichungen dieselben Techniken. Eine Erweiterung – .xpi bei Firefox, .crx bei Chrome – ist eine gezippte Datei, in der eine JSON-formatierte Datei namens manifest.json Inhalte und Einstiegspunkte in den JavaScript-Code beschreibt.