Ruim zeven miljoen(!) Firefox-gebruikers hebben de Ant Video Downloader and Player geïnstalleerd. Naar nu blijkt verzamelt deze add-on niet alleen in het geniep informatie over elke website die bezocht wordt, maar koppelt deze data ook nog eens aan unieke informatie over de gebruiker…

Dat werd bij toeval ontdekt door ene Simon Newton, een ontwikkelaar van web-applicaties. Toen hij een packet sniffer liet draaien om een probleem met één van zijn eigen applicaties te achterhalen, viel het hem op dat er informatie over elke site die hij bezocht doorgestuurd werd naar een server op rpc.ant.com. Het bijbehorende ip-adres verwees naar het bedrijf Reality Check Network Corp. De doorgestuurde data bestond uit de url van de website die hij bezocht, het tijdstip waarop dat gebeurde, details over de browser en een aantal hardnekkige cookies waarin een Universally Unique Identifier (UUID) zat. Daarmee kan in theorie een unieke computer achterhaald worden.

“Door die UUID en cookies kan Reality Check Network een patroon opbouwen van waar ik allemaal heen ga: ze zouden bijvoorbeeld kunnen zien of ik mijn computer thuis gebruik, op mijn werk, in de buurt van een openbaar hotspot of bij vrienden. Bovendien wordt al deze info op een server opgeslagen.”

Ook anoniem surfen niet veilig
Newton ontdekte ook dat  Ant Video Downloader and Player zelfs data verzamelt wanneer er gesurft wordt met Firefox’ Private Browsing Mode of sites als Tor (die ervoor zorgen dat je anoniem kunt surfen).

Op zich is het niet verboden voor add-ons om data te verzamelen, maar dan moet iemand die zo’n add-on downloadt, daar wel vantevoren duidelijk over worden ingelicht. In de privacy policy van Ant stond hier echter niets over in.

Mozilla heeft de add-on (tijdelijk?) verwijderd.

Meer lezen? Bezoek het blog van Simon Newton, de man die de praktijken  van Ant ontdekte.