Lina Chekhovich – shutterstock.com
Forscher des Security-Anbieters Koi haben herausgefunden, dass Urban VPN Proxy, eine weit verbreitete kostenlose VPN-Erweiterung für Browser, vollständige KI-Chat-Konversationen aus den Browsern der Benutzer sammelt und exportiert.
Für Unternehmen, in denen Mitarbeiter regelmäßig interne Kontexte, Code-Schnipsel, Kundendaten oder Forschungsnotizen in KI-Tools einfügen, birgt diese Funktion eine Gefahr für Datendiebstahl. Der Exfiltrationskanal liegt in diesem Fall vollständig außerhalb der traditionellen Sicherheitskontrollen des Unternehmens.
Das Problem beschränkt sich jedoch nicht nur auf VPN-Datenverkehr oder verschlüsselte Sitzungen.Laut den Erkenntnissen von Koi injiziert Urban VPN- Skripte, die immer dann aktiviert werden, wenn Benutzer mit beliebten KI-Plattformen interagieren. Dabei werden sowohl Prompts als auch Antworten erfasst, selbst wenn die VPN-Funktionen deaktiviert sind.
Versteckte Skripte in „Privatsphäre”
Neben dem Angebot eines VPN-Dienstes setzt Urban VPN Proxy „Executor”-Skripte ein, die aktiviert werden, wenn ein Benutzer im Browser KI-Chat-Plattformen wie ChatGPT, Claude, Gemini, Perplexity und Grok ansteuert. „Jede Plattform hat ihr eigenes dediziertes Skript – chatgpt.js, claude.js, gemini.js und so weiter”, erklären die Forscher in einem Blogbeitrag.
Diese Skripte überschreiben wichtige Browser-Netzwerk-APIs, um alles, was ein Nutzer eingibt und empfängt, abzufangen, zu verpacken und an die Backend-Systeme von Urban VPN zu senden. Der zugrunde liegende Code überwacht kontinuierlich den Inhalt von KI-Konversationen und die zugehörigen Metadaten und lädt diese unabhängig von der VPN-Nutzung hoch.
„Die Chrome-Erweiterung hat hohe Bewertungen und ein ‚Featured‘-Abzeichen von Google, was den Nutzern ein implizites Vertrauenssignal gibt“, stellen die Security-Spezialisten fest. „Das Abzeichen von Google bedeutet, dass es eine manuelle Überprüfung bestanden hat und den von Google beschriebenen hohen Standards für Benutzererfahrung und Design entspricht“.
Sowohl die Chrome- als auch die Edge-Variante der Erweiterung sind weiterhin im Chrome Web Store, beziehungsweise im Edge Add-ons Store verfügbar.
Das Storefront-Marketing von Urban hebt sogar eine „KI-Schutzfunktion“ hervor, die angeblich die Eingaben der Nutzer auf sensible Daten überprüft. Koi stellte jedoch fest, dass dieser Schutzrahmen unabhängig von der Überwachungsebene funktioniert und alle KI-Interaktionsdaten exfiltriert, egal, ob die Nutzer dies wünschen oder nicht.
Chats von acht Millionen Konten gestohlen
Die Forscher von Koi entdeckten, dass der Herausgeber von Urban VPN, Urban Cyber Security Inc., eng mit BiScience (B.I Science Ltd), einem Datenbroker, verbunden ist.
Dessen Datenerfassungspraktiken hätten laut Koi-Bericht bereits zuvor die Sicherheitsforscher Wladimir Palant und John Tuckner von Secure Annex dokumentiert. Ihre Untersuchungen ergaben, dass BiScience in großem Umfang wiedererkennbare Clickstream-Daten sammelt und diese über sein SDK und Produkte wie AdClarity und Clickstream OS monetarisiert.
Auf diese Weise seien bereits hunderte Millionen KI-Konversationen erfasst und über mehrere Erweiterungen desselben Anbieters hinweg gebündelt worden, wodurch eine kombinierte Nutzerbasis von weit mehr als acht Millionen erreicht wurde.
Koi merkt an, dass die KI-Konversationsfunktion von Urban VPN im Laufe der Zeit durch Erweiterungs-Updates eingeführt wurde und sich von früheren Browsing-Telemetriedaten zu einer umfassenderen Überwachung generativer KI-Interaktionen entwickelte, als diese Tools sich zunehmend durchsetzten. Die Ergebnisse spiegeln die allgemeinere Warnung wider, dass Browser-basierte KI-Tools und -Erweiterungen zu einer unkontrollierten Risikostufe für Unternehmen werden und eher als Teil der Angriffsfläche denn als reine Komfortfunktionen betrachtet werden sollten. (jm)