1. Privacy Browser

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird der Privacy Browser analysiert, der ausschließlich für Android verfügbar ist. Die Ausgangslage für den nachfolgenden Test des Privacy Browsers ist wie folgt:

Betriebssystem: Android 11
Version: 3.8 (F-Droid Build)
Konfiguration: Standardkonfiguration (keine Anpassungen)
WebView-Version: 90.0.4430.82 (20.04.2021)

Der Privacy Browser wird aktuell wie folgt beworben:

A web browser that respects your privacy

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Startpage zum Host »www.startpage.com«:

GET / HTTP/1.1
Host: www.startpage.com
Connection: close
Upgrade-Insecure-Requests: 1
User-Agent: PrivacyBrowser/1.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
x-requested-with:
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Privacy Browser hat als Startseite die Suchmaschine Startpage voreingestellt. Beim ersten Öffnen des Browsers werden daher diverse Verbindung zu Startpage initiiert, um die Seite darzustellen. Über »Einstellungen -> Allgemein -> Startseite« lässt sich das Verhalten anpassen. Ein leerer Eintrag bezweckt, dass keine Seite beim Starten des Browsers geladen wird.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu Google zum Host »content-autofill.googleapis.com«:

GET /v1/pages/ChNDaHJvbWUvOTAuMC40NDMwLjgyEhAJ07mi3Bp4sQoSBQ27V1Zq?alt=proto HTTP/1.1
Host: content-autofill.googleapis.com
Connection: close
X-Goog-Encode-Response-If-Executable: base64
X-Goog-Api-Key: dummytoken
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/90.0.4430.82 Mobile Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Jedes Mal, wenn der Browser ein Eingabefeld auf einer Webseite findet, öffnet er offenbar eine Verbindung zur Adresse »content-autofill.googleapis.com«. Weshalb ein Autofill-Service für Formulare eine Verbindung zu Google initiieren muss, erschließt sich mir nicht. Ich habe den Entwickler (Soren Stoutner) angeschrieben, damit er sich dazu äußern kann. Ich vermute fast, der Aufruf kommt deshalb zustande, weil der Privacy Browser die System WebView zur Darstellung von Webseiten nutzt und diese den Verbindungsaufbau (indirekt) verursacht.

Hinweis

Nur einen Tag später hat mich Soren kontaktiert und auf ein Issue hingewiesen, in dem genau dieses Verhalten beobachtet wurde. Unter dem Nickname »No Name« habe ich dann auch meine Eindrücke/Ergebnisse ergänzt. Aktuell ist wohl unklar, wie der Aufruf zustande kommt.

Übrigens: Auf dem googlefreien System (GrapheneOS) konnte ich keine Verbindungen zu »content-autofill.googleapis.com« feststellen.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Der Quellcode des Privacy Browsers ist für jeden frei einsehbar. Zur Darstellung/Rendering von Webseiten nutzt der Browser die in Android mitgelieferte System WebView. Anders als bspw. Firefox, der eine eigene Rendering-Engine für Webseiten mitbringt (Gecko), basiert Privacy Browser also auf der systemeigenen von Google.

Es ist lohnenswert zu lesen, wie der Entwickler das Surfen im Internet beschreibt. Ein Auszug:

At a very basic level, websites only need two pieces of information to send you a webpage.

The URL you are requesting.

The IP address and port number the response should be sent to.

If the website requires a login, this is expanded to three pieces of information.

The URL you are requesting.

The IP address and port number the response should be sent to.

A cookie that demonstrates you have correctly been authenticated (there are no other valid uses for cookies, in my opinion).

They don’t need anything else. They don’t need JavaScript. They don’t need to know your user agent. They don’t need to know anything about your screen size. They don’t need to probe the specs of your graphics card. They don’t need to read your accelerometer. They shouldn’t get to control tabs, or system popup boxes, or track your mouse position, or what you are typing before you send it to them. They shouldn’t know how you display the information they send you. They don’t need to do any of these things.

Es ist daher wenig verwunderlich, dass der Browser im Auslieferungszustand weder JavaScript, noch Cookies etc. aktiviert hat. Auf Wunsch lassen sich die Funktionen global für alle Webseiten erlauben oder einzeln für jede Webseite festlegen.

3.2 Suchmaschine

Startpage ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suche« lässt sich bei Bedarf eine andere Suchmaschine einstellen.

3.3 Tracking

Der Privacy Browser trackt den Nutzer nicht.

3.4 Add-ons/Erweiterungen

Add-ons werden keine unterstützt. Standardmäßig hat der Browser allerdings diverse Filterlisten (EasyList, EasyPrivacy, UltraList etc.) integriert, die Tracker, Werbung und Social-Media-Kram wie den Facebook-Like-Button filtern. Die Filterlisten werden übrigens mit dem Browser ausgerollt und werden nur dann aktualisiert, wenn eine neue Version des Privacy Browsers zur Verfügung steht. Ab Version 3.x des Browsers soll sich das ändern.

3.5 Private Browsing/Privates Fenster

Einen »privaten Surf-Modus«, wie man ihn von anderen Browsern kennt, gibt es bei Privacy Browser nicht.

4. Fazit

Insgesamt hinterlässt der Privacy Browser einen datenschutzfreundlichen Eindruck – wobei die Kontaktaufnahme zu Googles Autofill-Service den Gesamteindruck trübt. Abgesehen von diesem Makel telefoniert der Browser nicht nach Hause und bringt Filterlisten gegen Tracker, Werbung und Social-Media bereits mit. Die Voreinstellungen sind extrem restriktiv, was Datenschutzfans freuen dürfte.

Wir erinnern uns mal kurz an den Marketingspruch, mit dem der Privacy Browser beworben wird:

A web browser that respects your privacy

Aufgrund des kleinen Makels (Google Autofill-Service) kann ich dem nicht gänzlich zustimmen. Für googlefreie Systeme (bspw. GrapheneOS) würde ich die Aussage allerdings sofort unterschreiben.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

3 Ergänzungen zu “Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11”

sibylla sagt:

21. Juni 2021 um 21:25 Uhr

Wenn ich mit dem Privacy-Browser z.B. das Kompendium lese, sehe ich die Bilder aus https://media.kuketz.de/…. mit der Standardeinstellung des Browsers nicht.
Erst wenn ich unter „Sperrlisten -1“ beim Eintrag „Alle Zugriff auf Drittanbieter …“ das Häkchen wegnehme, werden die Bilder angezeigt.
- Mike Kuketz sagt:
  
  22. Juni 2021 um 10:12 Uhr
  
  Das Verhalten ist korrekt. Standardmäßig blockiert der Browser Verbindungen zu Drittquellen, wenn er eine Domain aufruft. Die Bilder auf dem Kuketz-Blog werden nicht direkt von der Domain kuketz-blog.de geladen, sondern von eine andere Domain: media.kuketz.de
  
  kuketz-blog.de und media.kuketz.de sind unterschiedliche Domains. Man kann das Verhalten individuell für jede Webseite definieren/anpassen.
caligula sagt:

26. Juni 2021 um 21:14 Uhr

Hallo Mike,
was auch noch erwähnenswert ist, ist der mögliche (ständige?) Sensorzugriff von Googles Android System WebView bei aktiviertem Javascript.
Während man in Chrome, Bromite und anderen auf Chromium basierten Browsern den Zugriff auf die Sensoren-API über die Browser-Einstellungen abschalten kann, geht das bei (stock) Android System WebView nicht. So kann beispielsweise die Bromite fingerprinting mitigations test Seite über den Privacy Browser das Gerät „stalken“.

Wenn du konkrete Fragen hast oder Hilfe benötigst, ist das offizielle Forum eine geeignete Anlaufstelle, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt des Redaktionsschlusses wider, ähnlich wie Zeitungsartikel.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (436)

Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11