Stijlvolle browser plug-in blijkt privacyschender

Stylish is een veelgebruikte plug-in waarmee browsergebruikers zelf een stijl kunnen kiezen waarin door hun bezochte websites dan worden weergegeven. Gebruikers kunnen zelf ook skins maken en die via Stylish' site weer aanbieden aan anderen. Een software-ingenieur heeft echter ontdekt dat de stijlvolle plug-in zich heeft ontpopt tot spyware.

Alle sites die je bezoekt

Het vergaart de complete browsegeschiedenis van zijn 2 miljoen gebruikers, meldt spyware-ontdekker Robert Heaton in zijn blogpost hierover. Deze datadoorgifte is compleet met unieke identifier voor elke gebruiker. Die identiteit valt weer te koppelen aan login cookies voor de site waar gebruikers styles voor Stylish kunnen vinden. Deze privacyschendende en stiekeme praktijk is volgens Heaton al sinds januari vorig jaar aan de gang. Het door hem zeer nuttig bevonden Stylish is eind 2016 namelijk overgenomen waarna het een tool voor uitgebreide webanalytics is geworden.

De nieuwe eigenaar heeft toen wel verklaard dat de dataverzameling, door partner SimilarWeb, geanonimiseerd wordt gedaan. Dat blijkt nu niet het geval te zijn. Heaton stipt nog aan dat Stylish kort na het opzetten van de samenwerking met SimilarWeb in handen is gekomen van die webanalyticsfirma. Deze nieuwste eigenaar meldt op zijn site nu dat zijn privacy policy is aangepast om in lijn te zijn met de Europese privacywetgeving AVG.

Uitschakelen of verwijderen

Reeds geïnstalleerde gevallen van Stylish blijven namelijk gewoon aanwezig en ook actief. Gebruikers moeten dus zelf actie ondernemen om de privacyschending door deze plug-in een halt toe te roepen. Uitschakelen of deïnstalleren van de extensie moet handmatig gebeuren. Indien dat niet gebeurt, kan de datavergaring nog gewoon doorgaan. Stylish is ook beschikbaar voor Opera en Baidu. Heaton raadt Stylish-fork Stylus aan, die is afgetakt vóór de overname die nu tot de spywareban door Google en Mozilla heeft geleid.