Start der Mini-Serie

Dieser Beitrag ist der Auftakt zu einer Mini-Serie, in der ich das Datensendeverhalten von Firefox Add-Ons analysiere. Mittels eines Intercepting-Proxys wird das Verhalten der Add-Ons beim Start und auch während der Nutzung geprüft. Anders als bei der Serie App-Check ist die Analyse eher stichprobenartig und nicht so detailliert/umfangreich. Ich werde nicht den kompletten Datenverkehr dokumentieren, sondern mich auf die kritischen Teile konzentrieren – falls vorhanden. Als Ausgangslage verwende ich stets die Standardkonfiguration der Add-Ons.

Dieser Beitrag ist Teil einer Artikelserie:

Avira Browser Safety

[1] Nach dem Download und der Installation von Avira Browser Safety wird zunächst eine user_guid generiert und an Avira übermittelt [v2.auc.avira.com]:

POST /api/auth? HTTP/1.1
Host: v2.auc.avira.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=UTF-8
Content-Length: 268
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Dnt: 1
Te: trailers
Connection: close

{
   "key":"2216cc6964aa79fa09205dd4b08fb808",
   "user_guid":"afbfbbd6-0c57-46e0-8330-65d85d6e7363",
   "metadata":{
      "product":"avira-browser-safety",
      "product_version":"4.2.7.23601",
      "lang":"en-US",
      "platform":"Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0"
   }
}

[2] Beim Aufruf einer Website wird die Domain inklusive Pfad (also vollständige URL) an Avira übermittelt [v2.auc.avira.com]:

POST /api/query?session=JuGK_J7fiOcjUhoCZhw3 HTTP/1.1
Host: v2.auc.avira.com
Cookie: country=DE; language=en; passthrough=%7B%22referer%22%3Anull%2C%22x-referer%22%3Anull%7D; permpassthrough=%5B%5D
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=UTF-8
Content-Length: 107
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Dnt: 1
Te: trailers
Connection: close

{
   "urls":[
      "https://www.kuketz-blog.de/empfehlungsecke/"],
   "wlv":238,
   "exv":147,
   "metadata":{
      "res_type":"main"
   }
}

Wie im Aufruf zu sehen wird die komplette URL übermittelt und zusätzlich noch eine Session-Nummer: JuGK_J7fiOcjUhoCZhw3.

Fazit

Das Versprechen von Avira:

Avira Browserschutz schützt Sie vor schädlichen Webseiten & unsichtbaren Trackern. Unsere Erweiterung sammelt keine Daten über Sie. #wedontsellyourdata

Ich erspare mich jeglichen Kommentar dazu.

Deinstalliert dieses Add-On sofort bzw. ersetzt es am besten durch uBlock Origin. Die Übermittlung von kompletten URLs ist nicht nur datenschutzunfreundlich, sondern auch eine veraltete Methode.

Browser wie Firefox haben den Schutz vor schädlichen Domains bereits integriert – die Schutzfunktion basiert auf Google Safe Browsing. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden. Wer diese Firefox-Funktion abschalten möchte, kann dies wie folgt tun. Mit einem Aufruf der about:config und den folgenden Einstellungen kann Google Safe Browsing vollständig deaktiviert werden:

browser.safebrowsing.downloads.enabled = false
browser.safebrowsing.downloads.remote.block_potentially_unwanted = false
browser.safebrowsing.downloads.remote.block_uncommon = false
browser.safebrowsing.malware.enabled = false
browser.safebrowsing.phishing.enabled = false

tl;dr: Niemand benötigt Schnüffel-Add-Ons wie Avira Browser Safety, die das Surfverhalten übermitteln. Deinstallieren bzw. durch uBlock Origin ersetzen.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡