Was, wenn Dein Browser nicht nur für Dich surft – sondern auch für jemand anderen? Eine aktuelle Untersuchung deckt auf, wie Hunderttausende Internetnutzer unwissentlich Teil eines globalen Web-Scraping-Netzwerks wurden. Der Skandal dreht sich um unscheinbare Browser-Erweiterungen, die nützliche Funktionen versprechen – und im Verborgenen systematisch Schutzmechanismen aushebeln, um Webseiten für zahlende Dritte auszulesen. Was dahinter steckt, wer profitiert – und wie Du herausfindest, ob du selbst betroffen bist. (Liste am Ende des Beitrags)
Wie harmlose Erweiterungen Deinen Rechner in einen Web-Scraping-Bot verwandeln
Ein Lesezeichen-Manager, ein Lautstärke-Booster, ein Tool zum Kopieren von Text – wer denkt bei solchen Browser-Erweiterungen an digitale Spionage? Doch genau das ist geschehen: Nahezu eine Million Browser wurden durch scheinbar nützliche Add-ons zu Teilnehmenden eines unsichtbaren Botnetzes gemacht – und das ganz legal, unter dem Radar, so scheint es noch.
MellowTel, die unsichtbare Maschine hinter harmlosen Tools
Im Zentrum dieses Skandals steht eine JavaScript-Bibliothek namens MellowTel-js (Github). Sie steckt in 245 Erweiterungen, die für Chrome, Firefox und Edge verfügbar waren – insgesamt fast 909.000 Downloads. Die Tarnung war geschickt: Die Add-ons versprachen nützliche Alltagsfunktionen, doch im Hintergrund öffneten sie unsichtbare Fenster und luden Webseiten – nicht für dich, sondern für zahlende Kunden eines Unternehmens namens Olostep.
Olostep wirbt offensiv: „Der weltweit zuverlässigste und günstigste Web-Scraping-Dienst.“ Was das bedeutet? Firmen geben an, welche Seiten sie analysieren möchten – und Olostep nutzt die Browser von Nutzern wie Dir, um diese Seiten unauffällig zu besuchen. Kein Bot-Alarm, kein Captcha – denn es ist ja ein echter Browser.
Sicherheit? Zweckentfremdet und ausgehebelt
Normalerweise schützen Mechanismen wie Content-Security-Policy oder X-Frame-Options Nutzer davor, dass fremde Inhalte heimlich geladen werden. Doch MellowTel-js hat einen Trick auf Lager: Die Erweiterungen erhalten tiefgreifende Rechte – darunter das Ändern von Webanfragen und -antworten. Damit entfernen sie gezielt Sicherheits-Header, laden Inhalte in versteckte iframes – und setzen sie später einfach wieder ein, als wäre nichts gewesen.
Der Forscher John Tuckner, der den Fall aufdeckte, nennt das beim Namen:
„Ein absichtliches Schwächen der Browser-Sicherheit.“ Und er warnt: „Nicht nur wird dein Browser zum Bot, auch deine Online-Sicherheit leidet massiv.“
– Quelle: Secure Annex
Besonders prekär wird es in Firmennetzwerken: Viele Unternehmen setzen auf restriktive Sicherheitsrichtlinien. Doch mit MellowTel im Hintergrund wird aus einem harmlosen Browser ein trojanisches Pferd – offen für fremden Code, unkontrollierbar im Verhalten. Der Schaden kann gewaltig sein.
Vertrauen gegen Bares: Das Geschäftsmodell
Die Entwickler der Erweiterungen verdienen mit. 55 % der Einnahmen bleiben bei ihnen, der Rest fließt an MellowTel. Der Clou: Nutzer müssen dabei keine persönlichen Daten angeben, was dem Modell auf den ersten Blick einen harmlosen Anstrich verleiht. Doch in Wahrheit wird deine Bandbreite verkauft und Deine Privatsphäre geopfert.
Die von MellowTel ferngesteuerten iframes laden Seiten, die Du nie sehen solltest. Welche? Das entscheidet ein Server bei Amazon Web Services – außerhalb deiner Kontrolle.
Ein Risiko für alle – auch Unternehmen
Besonders prekär wird es in Firmennetzwerken. Viele Unternehmen setzen auf restriktive Sicherheitsrichtlinien. Doch mit MellowTel im Hintergrund wird aus einem harmlosen Browser ein trojanisches Pferd – offen für fremden Code, unkontrollierbar im Verhalten. Der Schaden kann gewaltig sein.
Déjà-vu: Nacho Analytics lässt grüßen
Der Fall erinnert frappierend an Nacho Analytics (2019): Damals spähten Browser-Add-ons Millionen Nutzer aus – inklusive persönlicher Daten, Geschäftsdokumenten, sogar Überwachungsvideos. Der Dienst verschwand erst, nachdem er öffentlich enttarnt wurde. Ein Mahnmal, das offensichtlich zu wenig Wirkung gezeigt hat. (SecureMac, August 2019)
Was jetzt?
Von den betroffenen Erweiterungen sind inzwischen einige deaktiviert:
- Chrome: 12 von 45 Erweiterungen
- Edge: 8 von 129
- Firefox: 2 von 71
Einige wurden wegen Malware entfernt, andere haben die MellowTel-Bibliothek in neueren Versionen gelöscht. Doch das Problem bleibt: Wer heute Add-ons installiert, braucht mehr denn je ein kritisches Auge.
Liste der betroffenen MellowTel Extensions
Bist Du Teil des Bot-Netzwerks?
Die vollständige Liste aller bekannten Erweiterungen, die die MellowTel-Bibliothek enthalten oder enthielten, findest Du hier:
👉 Zur Liste der betroffenen Browser-Erweiterungen
Dort kannst Du ganz einfach nachsehen, ob Du eines der Add-ons installiert hast – und es gegebenenfalls sofort entfernen. Sicherheit beginnt mit Information.
Add-ons als Einfallstor
Browser-Erweiterungen waren lange das Salz in der Suppe des Desktop-Webs – praktische Helfer für fast alles. Doch wer den Code dahinter nicht kennt, öffnet potenziell Tür und Tor für Missbrauch. Der Fall MellowTel zeigt: Nicht jede nützliche Funktion ist harmlos und Vertrauen kann teuer werden.
FAQ zu schadhaften Browser-Erweiterungen
Wie erkenne ich eine seriöse Erweiterung
- Achte auf den Herausgeber: Ist es ein bekanntes Unternehmen oder ein anonymer Entwickler?
- Lies Bewertungen – aber mit Vorsicht: Gerade Fake-Add-ons haben gefälschte Rezensionen.
- Schau Dir die Anzahl der Installationen und das letzte Update-Datum an. Veraltete Erweiterungen können unsicher sein.
Warum sind die angeforderten Berechtigungen wichtig?
Die Berechtigungen, die ein Addon von Dir einfordert verraten Dir, wie tief eine Erweiterung in Dein Surfverhalten eingreifen kann. Wenn ein Taschenrechner-Add-on „alle Webseiten lesen und ändern“ darf, lass vielleicht besser die die Finger davon und such eine Alternative.
Wie oft sollte ich meine installierten Erweiterungen prüfen?
Mein persönlicher Tipp: Wenn Du eine Browser-Erweiterung nur im Moment benötigst, entferne sie direkt nach der Anwendung wieder von Deinem Gerät. So kannst Du es gar nicht vergessen.
Was sind typische Warnsignale für eine gefährliche Erweiterung?
Typische Warnsignale für eine gefährliche Browser-Erweiterung, auf die Du achten solltest sind:
- Unerwartete Weiterleitungen oder Pop-ups
- Verlangsamte Seiten
- Neue, unbekannte Tabs beim Start des Browsers
- Erweiterungen, die plötzlich neue Rechte wollen
Was tun, wenn ich eine verdächtige Erweiterung installiert habe?
Wenn Du glaubst, eine Erweiterung könnte schadhaft sein, deinstalliere sie sofort. Im Chrome Browser klickst Du das Add-On mit einem Rechtsklick an und wählst „Remove from Chrome“, oder wie das auf Deutsch heißt. Dann solltest Du:
- Browserdaten löschen (insb. Cookies und gespeicherte Seiten).
- Sicherheitstools laufen lassen.
- Passwörter ändern, wenn sensible Seiten betroffen waren.
Welche Alternativen gibt es zu riskanten Erweiterungen?
Prüfe Empfehlungen von vertrauenswürdigen Tech-Webseiten oder Sicherheitsexperten. Für viele einfache Aufgaben, kannst Du Dir mit ChatGPT oder Google Gemini kostenlos sogenannte Bookmarklets programmieren lassen. Wenn Dich das interessiert, hol Dir meinen RSS-Feed. Bald kommt dazu ein fetter Artikel bei mir online.