iCab Mobile: Datensendeverhalten iOS-App – Browser-Check Teil18

1. iCab Mobile

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird iCab Mobile analysiert, der für iOS und macOS (iCab) verfügbar ist. Die Ausgangslage für den nachfolgenden Test von iCab Mobile ist wie folgt:

Betriebssystem: iOS 14.7.1
Version: 10.2.2 (App Store)
Konfiguration: Standardkonfiguration (keine Anpassungen)

iCab Mobile wird aktuell wie folgt beworben:

iCab Mobile ist wahrscheinlich einer der iPhone-Browser mit dem größten Feature-Set.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu iCab Mobile zum Host »www.icab-mobile.de«:

GET /news HTTP/1.1
Host: www.icab-mobile.de
Cache-Control: no-cache
Accept: */*
User-Agent: iCabMobile/10.2.2 CFNetwork/1240.0.4 Darwin/20.6.0
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

Unmittelbar nach dem Start wird ein Hinweisfenster mit Neuigkeiten / Update-Informationen eingeblendet. Dort sind neue Funktionen, Bugfixes, Anpassungen von allen iCab-Mobile-Versionen aufgeführt. Das passiert einmal bzw. nach jedem Update der App.

[2] Verbindungsaufbau zu iCab Mobile zum Host »www.icab-mobile.de«:

GET / HTTP/1.1
Host: www.icab-mobile.de
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 14_7_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0 Mobile/15E148 Safari/605.1.15
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

Dieser Verbindungsaufbau kommt zustande, weil die Adresse »www.icab-mobile.de« als Startseite in iCab Mobile voreingestellt ist. Dies löst das Nachladen diverser Ressourcen (CSS, JavaScript, Bilder) aus, die allerdings alle über die Domain ausgeliefert werden. Ein Nachladen von Drittdomains erfolgt nicht.

Wer diese Verbindungen bei jedem Start des Browsers vermeiden möchte, öffnet die »Einstellungen -> Persönliche Daten -> Startseite« und legt eine andere bzw. leere Startseite fest.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu DuckDuckGo zum Host »ac.duckduckgo.com«:

GET /ac/?type=list&q=meineEingabe HTTP/1.1
Host: ac.duckduckgo.com
Cache-Control: no-cache
Accept: */*
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 14_7_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.0 Mobile/15E148 Safari/605.1.15
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

Während der Eingabe einer URL in der Adresszeile wird jede Eingabe bzw. der Name der besuchten Domain an die Suchmaschine DuckDuckGo übermittelt. DuckDuckGo erhält über die Adresszeile also Kenntnis über jede Suchanfrage bzw. Webseite, die jemand besucht.

Die Übermittlung jeder Tastatureingabe lässt sich über »Einstellungen -> Persönliche Daten -> Suchvorschläge -> Suchvorschläge:Aus« deaktivieren.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Der Browser wird von Alexander Clauss entwickelt. Zur Darstellung/Rendering von Webseiten nutzt iCab Mobile die WebKit-Engine. Ein Werbeblocker ist bereits Bestandteil des Browsers. Insgesamt bietet der Browser viele Einstellungsmöglichkeiten und Funktionen – man wird schon beinahe davon erschlagen. Hier eine Auswahl (Quelle: iCab Mobile):

Über Tabs können Sie mehrere Web-Seiten gleichzeitig öffnen.
Mit dem Download-Manager können beliebige Dateien auf dem Gerät heruntergeladen werden.
Sie können auch Dateien und Fotos zu Web-Seiten hoch laden
Die iCloud-Unterstützung erlaubt es, Lesezeichen, Einstellungen, Tabs und einiges mehr zwischen allen ihren iOS-Geräten abzugleichen
Die Unterstützung von „Readability“ erlaubt das Synchronisieren der Leseliste zwsichen Apps und Geräten
Der Vollbildmodus entfernt alle Toolbars
Filter können Seitenelemente, wie z.B. Werbung, ausblenden.
Die Suche kann erweitert werden. Neue Suchmaschinen können auf Knopfdruck hinzugefügt werden.
Lesezeichen können vom Mac/PC importiert werden.
Formulare können gespeichert und automatisch ausgefüllt werden.

3.2 Suchmaschine

DuckDuckGo ist als Standardsuchmaschine voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an DuckDuckGo übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen. Die Übermittlung jeder Tastatureingabe lässt sich über »Einstellungen -> Persönliche Daten -> Suchvorschläge -> Suchvorschläge:Aus« deaktivieren.

Die Suchmaschine lässt sich relativ einfach wechseln: Einfach in die Adresszeile etwas eintippen, anschließend erscheint darunter eine Liste mit Suchmaschinen. Empfehlenswerte Suchmaschinen sind in der Empfehlungsecke zu finden.

3.3 Tracking

iCab Mobile trackt/verfolgt den Nutzer in keinster Weise.

3.4 Add-ons/Erweiterungen

Der iCab-Mobile-Browser bringt einige Module mit. Unter anderem ein Modul zum Download von Filterlisten, die zum Blockieren von Werbung und Tracking genutzt werden können. Persönlich fand ich die Aktivierung etwas umständlich – eventuell gibt es auch einen eleganteren Weg:

Auf das Modul-Icon tippen (Puzzle-Symbol)
Das Modul Download Filters auswählen
Es öffnet sich eine Webseite von iCab Mobile, auf der diverse Filterlisten verlinkt sind:
- Easylist antippen
- Dann muss jede Filterliste (die man hinzufügen möchte) einzeln mit einem Tipp auf add it to your ad blocker hinzugefügt werden
- Die Filterlisten sind nun hinterlegt, aber nicht aktiv
Letztendlich müssen die Filterlisten noch aktiviert werden:
- »Einstellungen -> Benutzeroberfläche -> Aktionsmenü« aufrufen
- Runterscrollen zu »Filter« und dort in der Zeile das Symbol mit den Pfeilen nach unten/oben antippen und »Hauptmenü« auswählen
- In die Hauptansicht des Browsers wechseln und unten das Hauptmenü-Symbol (ganz links unten) antippen
- Dort dann auf Filter tippen und Filter aktiviert selektieren

Etwas aufwendig – aber anschließend wird dann gefiltert. Die Listen lassen sich dann über das Menü »Filter« verwalten.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Insgesamt hinterlässt iCab Mobile einen datenschutzfreundlichen Eindruck, auch wenn die Standardeinstellungen nicht ganz optimal sind. Zu bemängeln ist, dass jede Suchanfrage bzw. Tastatureingabe an DuckDuckGo übermittelt wird. Das müsste nicht sein.

Abgesehen von diesem kleinen Mangel telefoniert der Browser nicht nach Hause und bietet eine Filtermöglichkeit gegen Werbung / Tracking – diese muss allerdings zunächst etwas umständlich aktiviert werden.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt des Redaktionsschlusses wider, ähnlich wie Zeitungsartikel.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (425)