Amazon 1Button App : Die Amazon-Erweiterung schickt besuchte Webseiten oder auch Google-Suchergebnisse an Amazon und den Partner Alexa. Die Amazon-Erweiterung schickt besuchte Webseiten oder auch Google-Suchergebnisse an Amazon und den Partner Alexa.

Die 1Button App bietet für Kunden von Amazon durchaus viele nützliche Funktionen, beispielsweise einen Preisvergleich, die gleichzeitige Suche im Web und bei Amazon, Zugriff auf die Amazon-Cloud-Dienste und als besonderen Vorteil 10 Minuten früheren Zugriff auf tägliche Angebote. Natürlich werden der Erweiterung dafür von Nutzer umfangreiche Rechte beim Zugriff auf seine Daten gewährt.

Dazu gehören allerdings auch, das Lesen und Verändern von Lesezeichen, der Zugriff auf alle Tabs im Browser, das Verwalten aller Apps, Erweiterungen und Designs und sogar der Zugriff auf alle Daten aus Copy & Paste-Aktionen. Noch bedenklicher wird die Nutzung der Erweiterung dadurch, dass sie die Adressen aller besuchten Webseiten direkt an Amazon schickt, sogar solche, die per HTTPS verschlüsselt sind. Auch die so verschlüsselte Suche bei Google wird samt den ersten Suchergebnissen an den Amazon-Partner Alexa weitergeleitet.

Als Höhepunkt der Untersuchung durch den Sicherheitsexperten Krzysztof Kotowicz stellte sich heraus, dass sich die Erweiterung dynamisch konfiguriert und die entsprechenden Informationen unverschlüsselt überträgt. Ein Angreifer könnte das ausnutzen, um auch Inhalte von E-Mails, Dokumente aus Google Drive und dergleichen abzufangen. Diese Lücke hat Amazon nun nach der Veröffentlichung durch Kotowicz geschlossen, das Ausspionieren der Nutzer geht allerdings weiter.