1. DuckDuckGo Privacy Browser
Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.
Im vorliegenden Beitrag wird der DuckDuckGo Privacy Browser analysiert, der für Android und iOS verfügbar ist. Die Ausgangslage für den nachfolgenden Test des DuckDuckGo Privacy Browsers ist wie folgt:
- Betriebssystem: Android 11
- Version: 5.88.0 (Google Play Store)
- Konfiguration: Standardkonfiguration (keine Anpassungen)
- WebView-Version: 90.0.4430.82 (20.04.2021)
Der DuckDuckGo Privacy Browser wird aktuell wie folgt beworben:
Take back your privacy!
- Brave: Datensendeverhalten Desktop-Version – Browser-Check Teil1
- Ungoogled Chromium: Datensendeverhalten Desktop-Version – Browser-Check Teil2
- Bromite: Datensendeverhalten Android-App – Browser-Check Teil3
- Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4
- Vivaldi: Datensendeverhalten Desktop-Version – Browser-Check Teil5
- Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6
- Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7
- LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8
- Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9
- SRWare Iron: Datensendeverhalten Desktop-Version – Browser-Check Teil10
- Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11
- DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12
- Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13
- FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14
- Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15
- Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16
- UC Browser: Datensendeverhalten Android-App – Browser-Check Teil17
- iCab Mobile: Datensendeverhalten iOS-App – Browser-Check Teil18
- Safari: Datensendeverhalten iOS-App – Browser-Check Teil19
- Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
- Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21
2. Datensendeverhalten
2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion
[1] Verbindungsaufbau zu DuckDuckGo zum Host »staticcdn.duckduckgo.com«:
GET /trackerblocking/v2.1/tds.json HTTP/1.1 User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29) Host: staticcdn.duckduckgo.com Connection: close Accept-Encoding: gzip, deflate
Über die Datei tds.json
bezieht der Browser eine Liste mit Tracking-Domains, die während dem Surfen im Netz blockiert bzw. gefiltert werden sollen. Ein Ausschnitt:
"1dmp.io": { "domain": "1dmp.io", "owner": { "name": "CleverDATA LLC", "displayName": "CleverDATA", "privacyPolicy": "https://hermann.ai/privacy-en", "url": "http://hermann.ai" }, "prevalence": 0.0048, "fingerprinting": 1, "cookies": 0.0048, "categories": [ "Ad Motivated Tracking", "Advertising", "Analytics", "Third-Party Analytics Marketing" ], "default": "block" },
[2] Verbindungsaufbau zu DuckDuckGo zum Host »improving.duckduckgo.com«:
GET /t/ml_android_phone?atb=&appVersion=5.88.0 HTTP/1.1 User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29) Host: improving.duckduckgo.com Connection: close Accept-Encoding: gzip, deflate
Unmittelbar nach dem Start kontaktiert der Browser die Domain »improving.duckduckgo.com«. Dort lesen wir:
At DuckDuckGo, we do not collect or share any personal information. That’s our privacy policy in a nutshell. To improve our products we had to create a completely anonymous way to figure out how DuckDuckGo is being used.
Any requests to this domain — improving.duckduckgo.com — are part of this anonymous experiment engine. You can learn more about how this technology works and how it was designed to protect your privacy here.
Zur »Produktverbesserung« findet also Tracking statt. Ob das Tracking nun »anonym« stattfindet, wie es DuckDuckGo darlegt, spielt erstmal keine Rolle. Es ist und bleibt Tracking. Weitere Informationen sind hier zu finden. Von einem Browser, der explizit mit dem Schutz der Privatsphäre wirbt, erwarte ich eigentlich überhaupt kein Tracking. Deaktivierbar ist das Tracking überdies ebenfalls nicht.
[3] Verbindungsaufbau zu DuckDuckGo zum Host »duckduckgo.com«:
GET /contentblocking/trackers-unprotected-temporary.txt HTTP/1.1 User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29) Host: duckduckgo.com Connection: close Accept-Encoding: gzip, deflate
Über die Domain duckduckgo.com lädt der Browser eine Liste mit Domains, die vom Tracking-Schutz ausgenommen sind. Anbei ein Ausschnitt:
[...] reuters.com www.sportskeeda.com portal.edd.ca.gov www.spiegel.de www.tentree.com www.dyson.com [...]
Unter der Ziffer »3.6 Besonderes Verhalten | Kein Tracking-Schutz« findet ihr dazu weitere Informationen.
[4] Verbindungsaufbau zu DuckDuckGo zum Host »duckduckgo.com«:
GET /contentblocking.js?l=surrogates HTTP/1.1 User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29) Host: duckduckgo.com Connection: close Accept-Encoding: gzip, deflate
Wenn eine Seite als Sicherheitsmaßnahme den Content-Security-Policy-Header (CSP) nutzt, kann es bei der Entfernung von Google Analytics oder anderen JavaScript-Tracker-Elementen zu einer CSP-Verletzung kommen. Damit der Tracking-Schutz keine CSP-Verletzung auslöst, wird eine Art Stellvertreter (Surrogate) geladen, der dies vermeidet. Die dazu notwendigen Informationen sind in der Datei contentblocking.js?l=surrogates
hinterlegt, die der Browser beim Start aktualisiert.
[5] Verbindungsaufbau zu DuckDuckGo zum Host »staticcdn.duckduckgo.com«:
GET /https/https-mobile-v2-bloom-spec.json HTTP/1.1 User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29) Host: staticcdn.duckduckgo.com Connection: close Accept-Encoding: gzip, deflate
Aus der Quelle »staticcdn.duckduckgo.com« lädt der Browser diverse JSON-Konfigurationsdateien und eine BIN-Datei (https-mobile-v2-bloom.bin):
- https-mobile-v2-bloom-spec.json
- https-mobile-v2-bloom.bin
- https-mobile-v2-false-positives.json
- survey/v2/survey-mobile.json
- trackerblocking/v2.1/tds.json
Die Dateien beinhalten unter anderem Informationen zu Tracking-Domains, aber auch Domains, die fälschlicherweise als Tracking- bzw. schadhafte Domain gelistet sind (false positive).
2.2 Während der aktiven Nutzung
[1] Verbindungsaufbau zu DuckDuckGo zum Host »improving.duckduckgo.com«:
GET /t/ms_android_phone?atb=v278-7&appVersion=5.88.0 HTTP/1.1 User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29) Host: improving.duckduckgo.com Connection: close Accept-Encoding: gzip, deflate
Während der Nutzung bzw. nach jedem Aufruf einer Webseite nimmt der Browser regelmäßig eine Verbindung zur Tracking-Domain »improving.duckduckgo.com« auf. Weitere Informationen sind hier zu finden.
3. Erwähnenswert
3.1 Basis bzw. Unterbau
Der Quellcode des DuckDuckGo Privacy Browsers ist für jeden frei einsehbar. Zur Darstellung/Rendering von Webseiten nutzt der Browser die in Android mitgelieferte System WebView. Anders als bspw. Firefox, der eine eigene Rendering-Engine für Webseiten mitbringt (Gecko), basiert DuckDuckGo Privacy Browser also auf der systemeigenen von Google.
Der DuckDuckGo Privacy Browser hat ein paar nützliche Funktionen integriert:
- A Privacy Grade showing how much a site can be trusted, before and after our Privacy Protection is applied.
- Smarter encryption, forcing sites to use encrypted connections when available, protecting your data from prying eyes.
- Our tracker blocker, stopping advertisers from tracking you on the sites you visit.
Einschränkend sollte allerdings erwähnt werden, dass nicht jede Werbung blockiert wird. DuckDuckGo sagt dazu:
We only block third-party ads that we consider to be tracking our users.
Die Einstellungsmöglichkeiten des Browsers sind insgesamt sehr eingeschränkt. Es lässt sich nicht einmal eine andere Suchmaschine (außer DuckDuckGo) festlegen.
3.2 Suchmaschine
DuckDuckGo ist als Standardsuchmaschine voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an DuckDuckGo übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen.
Über »Einstellungen -> Allgemeines -> Vorschläge für die Autovervollständigung
« lässt sich zumindest die Übermittlung jeder Tastatureingabe an DuckDuckGo deaktivieren. Die Suchmaschine lässt sich allerdings nicht anpassen.
3.3 Tracking
Der DuckDuckGo Privacy Browser trackt den Nutzer kontinuierlich. Ob das Tracking nun »anonym« stattfindet, wie es DuckDuckGo darlegt, spielt erstmal keine Rolle. Es ist und bleibt Tracking. Weitere Informationen sind hier zu finden.
3.4 Add-ons/Erweiterungen
Add-ons werden keine unterstützt. Standardmäßig hat der Browser allerdings einen Tracking-Schutz integriert, der Tracker bzw. Werbedomains filtert, die den Nutzer (seitenübergreifend) verfolgen. DuckDuckGo sagt dazu:
We block ads that we consider to be tracking our users. For that, we consume the dataset provided by https://github.com/duckduckgo/tracker-radar If you think that domain should be added to the block list, feel free to ping the team in that repo. Thanks.
Wer also einen Browser sucht, der Werbung (nahezu) vollständig filtert, der ist hier falsch. Das kann bspw. der Android-Browser Firefox (Fennec) in Kombination mit dem Tracking- bzw. Werbeblocker uBlock Origin weitaus besser.
3.5 Private Browsing/Privates Fenster
Einen »privaten Surf-Modus«, wie man ihn von anderen Browsern kennt, gibt es bei DuckDuckGo Privacy Browser nicht.
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.6 Besonderes Verhalten | Kein Tracking-Schutz
Über die Adresszeile bzw. ein Icon neben der URL zeigt der Browser eine Art »Datenschutz-Bewertung« an. Mit einem Fingertipp auf das Symbol erhält man Auskunft darüber, ob die Verbindung zur aufgerufenen Webseite verschlüsselt ist und wie viele Tracker blockiert wurden. Das funktioniert in der Praxis ganz ordentlich.
Erinnern wir uns jetzt nochmal an die Datei »trackers-unprotected-temporary.txt«, die der Browser beim Start bezieht. Darin enthalten sind diverse Domains wie spiegel.de. Ruft man nun spiegel.de
auf, wird eine wahre Tracking-Party gefeiert, weil der Browser hier offenbar nicht eingreift und die Tracker gewähren lässt. Der Nutzer bekommt davon erstmal nichts mit. Tippt man nach dem Aufruf der Spiegel-Website auf das Datenschutz-Bewertungs-Icon, wird die Spiegel-Webseite dort prima bewertet und keine blockierten Tracker angezeigt. Das gleiche Verhalten lässt sich beim Aufruf weiterer Seiten beobachten:
calbanktrust.com fidelity.com vanguard.com mebank.com.au wellsfargo.com zionsbank.com bankofscotland.co.uk amegybank.com suntrust.com tdbank.com inlandbank.com bank.barclays.co.uk capitalone.ca capitalone.com onlinebanking.nationwide.co.uk nbarizona.com sberbank.ru td.com ameritrade.com santander.com santander.co.uk usbank.com schwab.com www.x-kom.pl delta.com chipotle.com www.aspiration.com sbs.com.au reuters.com www.sportskeeda.com portal.edd.ca.gov www.spiegel.de www.tentree.com www.dyson.com www.6play.fr www.merriam-webster.com
Aus welchem Grund der Tracking-Schutz auf diesen Webseiten nicht greift lässt sich nicht abschließend beurteilen. Am naheliegendsten ist noch die Erklärung, dass ein aktiver Tracking-Schutz die Webseiten irgendwie »kaputt« macht bzw. die Darstellung/Funktionen beeinträchtigt. Aus meiner Sicht sollte DuckDuckGo zumindest ein Hinweis-Fenster oder ähnliches einblenden, das den Nutzer über die Deaktivierung des Tracking-Schutzes informiert und es dadurch auch zu einer falschen Datenschutz-Bewertung der Webseite kommt. Um den Sachverhalt zu klären, habe ich DuckDuckGo per E-Mail um eine Stellungnahme gebeten. Update: Die Stellungnahme liegt mittlerweile vor.
Zur Probe habe ich dem Browser nach dem Start mal eine manipulierte »trackers-unprotected-temporary.txt« untergeschoben und unter anderem die Domain spiegel.de
entfernt. Und siehe da, dann sieht das Ergebnis doch gleich anders aus – auf Spiegel-Online werden dann 12 Tracker blockiert:
Über die Datei »trackers-unprotected-temporary.txt« steuert DuckDuckGo demnach, welche Domains vom Tracking-Schutz ausgenommen sind. Für den Nutzer ist dieser Vorgang weder transparent noch irgendwie über das Benutzerinterface nachvollziehbar – auch nicht über »Einstellungen -> Ungeschützte Websites
«.
4. Fazit
Insgesamt hinterlässt der DuckDuckGo Privacy Browser keinen datenschutzfreundlichen Eindruck. Das liegt insbesondere an der »trackers-unprotected-temporary.txt«, die Domains vom Tracking-Schutz ausnimmt, ohne den Nutzer darüber zu informieren. Weiterhin findet ein permanentes Tracking statt, dass sich nicht deaktivieren lässt. Die Einstellungsmöglichkeiten sind auch relativ eingeschränkt. Unter anderem lässt sich die Standardsuchmaschine nicht ändern. Insgesamt ist das eines Browsers nicht würdig, der wie folgt wirbt:
Take back your privacy!
Das können andere mobile Browser wie Bromite oder Firefox (Fennec) besser. Dort wird der Nutzer nicht getrackt und insbesondere Werbung umfangreicher gefiltert.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
11 Ergänzungen zu “DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12”
Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Welche Version des Browser wurde denn hier verwendet? Die Version aus dem Play Store oder die aus F-Droid?
Leider kann ich dies nicht definitiv aus dem Artikel schließen.
Macht es überhaupt einen Unterschied, welche Version verwendet wird?
Die Google Play Store Version wurde verwendet. Ich habe kurz die F-Droid-Version geprüft: Selbes Verhalten.
Was hier passiert, sollte doch imho klar sein: Acceptable Tracking. Das Geschäftsmodell kennen wir von der eyeo GmbH mit Adblock Plus.
Das ist nicht abschließend geklärt. Warten wir mal die Stellungnahme von DuckDuckGo ab.
Hi Mike, deine Browser-Test Reihe ist echt spannend. Danke für deine Mühe.
Ich hatte befürchtet dass der DDG Browser so abschneidet, was mich direkt wieder an der Nutzung der gleichnamigen Suchmaschine zweifeln lässt (mit anderem Browser), die ich auch immer mit gemischten Gefühlen nutze.
Großartiger Test. Als Nutzer der Webseite duckduckgo.com bin ich sehr daran interessiert, zu erfahren, ob die Werbeversprechen eingelöst werden.
Könnte es sein, dass die ausgenommenen Seiten aus dem Nutzerfeedback generiert werden? In der Browser-Addon-Variante gibt es nämlich die Möglichkeit, Webseiten zu melden, auf denen der Blocker ein Fehlverhalten oder gar eine komplette Ladehemmung verursacht. Besonders bei Bankingseiten, die auf das Nachladen von Sicherheitsfunktionen angewiesen sind, kann das zutreffen. Daher die Annahme, dass die Ausnahme-Datei damit etwas zu tun haben könnte. Im positiven Fall könnte man dann annehmen, der Anbieter versucht, die Nutzung der App so fehlerlos wie möglich zu gestalten. Dennoch wäre ein Hinweis, dass gewisse Webseiten aus diesem Grund vom Schutz ausgenommen sind, unbedingt notwendig!
Dem Stimme ich zu.
Allerdings funktionierte Spiegel-Online auch dann noch, als der Tracking-Schutz aktiv war. Und selbst wenn Seiten aufgrund des Tracking-Schutzes nicht einwandfrei funktionieren, wäre es sinnvoller den Tracking-Schutz nicht vollständig zu deaktivieren, sondern das problematische Skript zu erlauben. Eine generelle Abschaltung – ohne einen Hinweis – kann wohl kaum im Interesse der Nutzer sein. Zumal die Datenschutzbewertung einer Website davon ebenfalls betroffen ist.
Fairerweise solltest du hier noch das Statement von DuckDuckGo zu trackers-unprotected-temporary.txt verlinken, was sie abgegeben haben, denn „[a]us welchem Grund der Tracking-Schutz auf diesen Webseiten nicht greift lässt sich” jetzt eben doch „abschließend beurteilen”.
TL;DR ist es wie du vermutet hast, die Webseites sind aktuell kaputt mit Trackingblocker. Wichtig auch noch zu wissen: Die liste ist temporär, die Webseites werden also wieder entfernt, wenn das Problem gefixt wurde.
Für mehr, bitte die offizielle Stellungnahme lesen:
Siehe: https://www.kuketz-blog.de/duckduckgo-erweiterung-der-stellungnahme/
Ist schon verlinkt.
Und noch als Ergänzung: Teilweise sind die Webseiten sehr lange in der temporären Liste. Aber DuckDuckGo hat angekündigt, da etwas mehr Fokus drauf zu legen und den Nutzer auch über die Abschaltung/Deaktivierung des Tracking-Schutzes zu informieren.
Ich kann mich den Vorrednern/Vorschreibern nur anschließen. Der Browsertest ist wirklich Klasse. Man müsste dem Versprechen der DuckDuckGo-Machern sonst blind vertrauen. Besonders die Ausnahme der Webseite der Fa. Dyson (www.dyson.com) von der Blocking-Liste empfinde ich als besonders dreist.
Für mich kann es dafür keinen nachvollziehbaren Grund, wie bei einer Ausnahme einer Banking-Seite, geben.
Wenn es tatsächlich um den Schutz der Privatsphäre ginge, dann müsste der Benutzer des Browsers die Ausnahmeregeln selber defninieren können und vor allem auch über den Umstand informiert werden.
Danke für Deine Arbeit!
Für verwerflich halte ich die Liste nicht und auch für nachvollziehbar. Aber was halt nicht optimal ist: Für den Nutzer ist nicht transparent bzw. ersichtlich, wann und ob eine besuchte Webseite vom Tracking-Schutz (temporär) ausgenommen ist. Das sollte besser gelöst werden. Hier hat DuckDuckGo Nachbesserung angekündigt.