Bin ja son Code-Fetischist - was mir nicht passt, wird raugeschnippelt.
Hier ist es eigentlich nur der Donate-Hinweis. Doch dabei bin ich drauf
gestossen, dass diese Erweiterung beim About/Über heimlich Bilder
vom Server nachlädt und auch per iFrame die Seite von AMO einlädt.
(letzteres ist sowieso totaler Blödsinn)
Mit Sicherheit nicht die einzige Erweiterung, muss man nur nicht haben,
wenn man den Browser lediglich anwirft und sich sowas durchliest. 
Ob der gewählte Titel deines Beitrags stimmt, mag momentan ungeprüft sein.
Was mich stört sind die dir bekannten, aber verschwiegenen Stellen im Code. Wo war denn das Problem die Datei und die Zeile direkt zu nennen ?
Dennoch fallen sofort zwei Schwachstellen auf:
a.) der Code-Review bei AMO, dem das nicht auffiel und wenn doch, keinen Hinweis darüber publizierte.
b.) die vom FF für eine Erweiterung gegeben Autorisierungen. Die vom Kontext her zu erlaubende Funktionalität wird nicht hinreichend differenziert.
Naja, Spionage ist doch etwas weit hergeholt. Wie oft rufst du denn das about-Fenster auf? Das erfolgt zudem auf Grund deiner Interaktion. Wenn eine Erweiterung "spionieren" würde, dann nicht auf diese ineffiziente Art.
Was bleibt?
Die Einbindung eines simplen PNGs:
/chrome/content/aboutdownbar.xul - Z.101
<image src="http://devonjensen.com/images/downbar_about_button.png"/>
Und der angesprochene IFrame:
Z. 369
<iframe id="bottomContent"
type="content"
src="http://devonjensen.com/downbarAboutRedirect.html"
style="height:845px;"
>
</iframe>
Das ist beides weder heimlich noch wird dabei jeweils mehr übertragen wie bei einem regulären HTTP-Request auf die beiden src-URLs.
Deiner Interpretation nach würde jede Erweiterung "spionieren" die nicht-lokale Grafiken einbindet. Dass dies nicht zu einer Beanstandung beim Review-Prozess geführt hat, wundert mich nicht. Ich sehe da nichts Verwerfliches, gestehe aber ohne Weiteres ein, dass diese Einbindung keinerlei funktionelle Notwenigkeit darstellt.
Für mich ist das "Spionage", weil in dem Moment die Browser- und OS-Daten bewusst
auf eine Seite gesendet werden, von der man das eigentlich nicht erwartet hätte.
Diese Daten werden zwangsweise auch bei anderen Request verschickt - nur da
will ich ja gewollt hin und nicht ungewollt, das ist schon ein Unterschied.