1. DuckDuckGo Privacy Browser

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird der DuckDuckGo Privacy Browser analysiert, der für Android und iOS verfügbar ist. Die Ausgangslage für den nachfolgenden Test des DuckDuckGo Privacy Browsers ist wie folgt:

Betriebssystem: Android 11
Version: 5.88.0 (Google Play Store)
Konfiguration: Standardkonfiguration (keine Anpassungen)
WebView-Version: 90.0.4430.82 (20.04.2021)

Der DuckDuckGo Privacy Browser wird aktuell wie folgt beworben:

Take back your privacy!

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu DuckDuckGo zum Host »staticcdn.duckduckgo.com«:

GET /trackerblocking/v2.1/tds.json HTTP/1.1
User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29)
Host: staticcdn.duckduckgo.com
Connection: close
Accept-Encoding: gzip, deflate

Über die Datei tds.json bezieht der Browser eine Liste mit Tracking-Domains, die während dem Surfen im Netz blockiert bzw. gefiltert werden sollen. Ein Ausschnitt:

"1dmp.io": {
         "domain": "1dmp.io",
         "owner": {
                "name": "CleverDATA LLC",
                "displayName": "CleverDATA",
                "privacyPolicy": "https://hermann.ai/privacy-en",
                "url": "http://hermann.ai"
         },
         "prevalence": 0.0048,
         "fingerprinting": 1,
         "cookies": 0.0048,
         "categories": [
                "Ad Motivated Tracking",
                "Advertising",
                "Analytics",
                "Third-Party Analytics Marketing"
         ],
        "default": "block"
     },

[2] Verbindungsaufbau zu DuckDuckGo zum Host »improving.duckduckgo.com«:

GET /t/ml_android_phone?atb=&appVersion=5.88.0 HTTP/1.1
User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29)
Host: improving.duckduckgo.com
Connection: close
Accept-Encoding: gzip, deflate

Unmittelbar nach dem Start kontaktiert der Browser die Domain »improving.duckduckgo.com«. Dort lesen wir:

At DuckDuckGo, we do not collect or share any personal information. That’s our privacy policy in a nutshell. To improve our products we had to create a completely anonymous way to figure out how DuckDuckGo is being used.

Any requests to this domain — improving.duckduckgo.com — are part of this anonymous experiment engine. You can learn more about how this technology works and how it was designed to protect your privacy here.

Zur »Produktverbesserung« findet also Tracking statt. Ob das Tracking nun »anonym« stattfindet, wie es DuckDuckGo darlegt, spielt erstmal keine Rolle. Es ist und bleibt Tracking. Weitere Informationen sind hier zu finden. Von einem Browser, der explizit mit dem Schutz der Privatsphäre wirbt, erwarte ich eigentlich überhaupt kein Tracking. Deaktivierbar ist das Tracking überdies ebenfalls nicht.

[3] Verbindungsaufbau zu DuckDuckGo zum Host »duckduckgo.com«:

GET /contentblocking/trackers-unprotected-temporary.txt HTTP/1.1
User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29)
Host: duckduckgo.com
Connection: close
Accept-Encoding: gzip, deflate

Über die Domain duckduckgo.com lädt der Browser eine Liste mit Domains, die vom Tracking-Schutz ausgenommen sind. Anbei ein Ausschnitt:

[...]
reuters.com
www.sportskeeda.com
portal.edd.ca.gov
www.spiegel.de
www.tentree.com
www.dyson.com
[...]

Unter der Ziffer »3.6 Besonderes Verhalten | Kein Tracking-Schutz« findet ihr dazu weitere Informationen.

[4] Verbindungsaufbau zu DuckDuckGo zum Host »duckduckgo.com«:

GET /contentblocking.js?l=surrogates HTTP/1.1
User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29)
Host: duckduckgo.com
Connection: close
Accept-Encoding: gzip, deflate

Wenn eine Seite als Sicherheitsmaßnahme den Content-Security-Policy-Header (CSP) nutzt, kann es bei der Entfernung von Google Analytics oder anderen JavaScript-Tracker-Elementen zu einer CSP-Verletzung kommen. Damit der Tracking-Schutz keine CSP-Verletzung auslöst, wird eine Art Stellvertreter (Surrogate) geladen, der dies vermeidet. Die dazu notwendigen Informationen sind in der Datei contentblocking.js?l=surrogates hinterlegt, die der Browser beim Start aktualisiert.

[5] Verbindungsaufbau zu DuckDuckGo zum Host »staticcdn.duckduckgo.com«:

GET /https/https-mobile-v2-bloom-spec.json HTTP/1.1
User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29)
Host: staticcdn.duckduckgo.com
Connection: close
Accept-Encoding: gzip, deflate

Aus der Quelle »staticcdn.duckduckgo.com« lädt der Browser diverse JSON-Konfigurationsdateien und eine BIN-Datei (https-mobile-v2-bloom.bin):

https-mobile-v2-bloom-spec.json
https-mobile-v2-bloom.bin
https-mobile-v2-false-positives.json
survey/v2/survey-mobile.json
trackerblocking/v2.1/tds.json

Die Dateien beinhalten unter anderem Informationen zu Tracking-Domains, aber auch Domains, die fälschlicherweise als Tracking- bzw. schadhafte Domain gelistet sind (false positive).

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu DuckDuckGo zum Host »improving.duckduckgo.com«:

GET /t/ms_android_phone?atb=v278-7&appVersion=5.88.0 HTTP/1.1
User-Agent: ddg_android/5.88.0 (com.duckduckgo.mobile.android; Android API 29)
Host: improving.duckduckgo.com
Connection: close
Accept-Encoding: gzip, deflate

Während der Nutzung bzw. nach jedem Aufruf einer Webseite nimmt der Browser regelmäßig eine Verbindung zur Tracking-Domain »improving.duckduckgo.com« auf. Weitere Informationen sind hier zu finden.

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Der Quellcode des DuckDuckGo Privacy Browsers ist für jeden frei einsehbar. Zur Darstellung/Rendering von Webseiten nutzt der Browser die in Android mitgelieferte System WebView. Anders als bspw. Firefox, der eine eigene Rendering-Engine für Webseiten mitbringt (Gecko), basiert DuckDuckGo Privacy Browser also auf der systemeigenen von Google.

Der DuckDuckGo Privacy Browser hat ein paar nützliche Funktionen integriert:

A Privacy Grade showing how much a site can be trusted, before and after our Privacy Protection is applied.
Smarter encryption, forcing sites to use encrypted connections when available, protecting your data from prying eyes.
Our tracker blocker, stopping advertisers from tracking you on the sites you visit.

Einschränkend sollte allerdings erwähnt werden, dass nicht jede Werbung blockiert wird. DuckDuckGo sagt dazu:

We only block third-party ads that we consider to be tracking our users.

Die Einstellungsmöglichkeiten des Browsers sind insgesamt sehr eingeschränkt. Es lässt sich nicht einmal eine andere Suchmaschine (außer DuckDuckGo) festlegen.

3.2 Suchmaschine

DuckDuckGo ist als Standardsuchmaschine voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an DuckDuckGo übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen.

Über »Einstellungen -> Allgemeines -> Vorschläge für die Autovervollständigung« lässt sich zumindest die Übermittlung jeder Tastatureingabe an DuckDuckGo deaktivieren. Die Suchmaschine lässt sich allerdings nicht anpassen.

3.3 Tracking

Der DuckDuckGo Privacy Browser trackt den Nutzer kontinuierlich. Ob das Tracking nun »anonym« stattfindet, wie es DuckDuckGo darlegt, spielt erstmal keine Rolle. Es ist und bleibt Tracking. Weitere Informationen sind hier zu finden.

3.4 Add-ons/Erweiterungen

Add-ons werden keine unterstützt. Standardmäßig hat der Browser allerdings einen Tracking-Schutz integriert, der Tracker bzw. Werbedomains filtert, die den Nutzer (seitenübergreifend) verfolgen. DuckDuckGo sagt dazu:

We block ads that we consider to be tracking our users. For that, we consume the dataset provided by https://github.com/duckduckgo/tracker-radar If you think that domain should be added to the block list, feel free to ping the team in that repo. Thanks.

Wer also einen Browser sucht, der Werbung (nahezu) vollständig filtert, der ist hier falsch. Das kann bspw. der Android-Browser Firefox (Fennec) in Kombination mit dem Tracking- bzw. Werbeblocker uBlock Origin weitaus besser.

3.5 Private Browsing/Privates Fenster

Einen »privaten Surf-Modus«, wie man ihn von anderen Browsern kennt, gibt es bei DuckDuckGo Privacy Browser nicht.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.6 Besonderes Verhalten | Kein Tracking-Schutz

Über die Adresszeile bzw. ein Icon neben der URL zeigt der Browser eine Art »Datenschutz-Bewertung« an. Mit einem Fingertipp auf das Symbol erhält man Auskunft darüber, ob die Verbindung zur aufgerufenen Webseite verschlüsselt ist und wie viele Tracker blockiert wurden. Das funktioniert in der Praxis ganz ordentlich.

Erinnern wir uns jetzt nochmal an die Datei »trackers-unprotected-temporary.txt«, die der Browser beim Start bezieht. Darin enthalten sind diverse Domains wie spiegel.de. Ruft man nun spiegel.de auf, wird eine wahre Tracking-Party gefeiert, weil der Browser hier offenbar nicht eingreift und die Tracker gewähren lässt. Der Nutzer bekommt davon erstmal nichts mit. Tippt man nach dem Aufruf der Spiegel-Website auf das Datenschutz-Bewertungs-Icon, wird die Spiegel-Webseite dort prima bewertet und keine blockierten Tracker angezeigt. Das gleiche Verhalten lässt sich beim Aufruf weiterer Seiten beobachten:

calbanktrust.com
fidelity.com
vanguard.com
mebank.com.au
wellsfargo.com
zionsbank.com
bankofscotland.co.uk
amegybank.com
suntrust.com
tdbank.com
inlandbank.com
bank.barclays.co.uk
capitalone.ca
capitalone.com
onlinebanking.nationwide.co.uk
nbarizona.com
sberbank.ru
td.com
ameritrade.com
santander.com
santander.co.uk
usbank.com
schwab.com
www.x-kom.pl
delta.com
chipotle.com
www.aspiration.com
sbs.com.au
reuters.com
www.sportskeeda.com
portal.edd.ca.gov
www.spiegel.de
www.tentree.com
www.dyson.com
www.6play.fr
www.merriam-webster.com

Aus welchem Grund der Tracking-Schutz auf diesen Webseiten nicht greift lässt sich nicht abschließend beurteilen. Am naheliegendsten ist noch die Erklärung, dass ein aktiver Tracking-Schutz die Webseiten irgendwie »kaputt« macht bzw. die Darstellung/Funktionen beeinträchtigt. Aus meiner Sicht sollte DuckDuckGo zumindest ein Hinweis-Fenster oder ähnliches einblenden, das den Nutzer über die Deaktivierung des Tracking-Schutzes informiert und es dadurch auch zu einer falschen Datenschutz-Bewertung der Webseite kommt. Um den Sachverhalt zu klären, habe ich DuckDuckGo per E-Mail um eine Stellungnahme gebeten. Update: Die Stellungnahme liegt mittlerweile vor.

Zur Probe habe ich dem Browser nach dem Start mal eine manipulierte »trackers-unprotected-temporary.txt« untergeschoben und unter anderem die Domain spiegel.de entfernt. Und siehe da, dann sieht das Ergebnis doch gleich anders aus – auf Spiegel-Online werden dann 12 Tracker blockiert:

Tracking bockieren spiegel.de

Über die Datei »trackers-unprotected-temporary.txt« steuert DuckDuckGo demnach, welche Domains vom Tracking-Schutz ausgenommen sind. Für den Nutzer ist dieser Vorgang weder transparent noch irgendwie über das Benutzerinterface nachvollziehbar – auch nicht über »Einstellungen -> Ungeschützte Websites«.

4. Fazit

Insgesamt hinterlässt der DuckDuckGo Privacy Browser keinen datenschutzfreundlichen Eindruck. Das liegt insbesondere an der »trackers-unprotected-temporary.txt«, die Domains vom Tracking-Schutz ausnimmt, ohne den Nutzer darüber zu informieren. Weiterhin findet ein permanentes Tracking statt, dass sich nicht deaktivieren lässt. Die Einstellungsmöglichkeiten sind auch relativ eingeschränkt. Unter anderem lässt sich die Standardsuchmaschine nicht ändern. Insgesamt ist das eines Browsers nicht würdig, der wie folgt wirbt:

Take back your privacy!

Das können andere mobile Browser wie Bromite oder Firefox (Fennec) besser. Dort wird der Nutzer nicht getrackt und insbesondere Werbung umfangreicher gefiltert.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

11 Ergänzungen zu “DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12”

Frank sagt:

22. Juni 2021 um 11:48 Uhr

Welche Version des Browser wurde denn hier verwendet? Die Version aus dem Play Store oder die aus F-Droid?
Leider kann ich dies nicht definitiv aus dem Artikel schließen.

Macht es überhaupt einen Unterschied, welche Version verwendet wird?
- Mike Kuketz sagt:
  
  22. Juni 2021 um 11:55 Uhr
  
  Die Google Play Store Version wurde verwendet. Ich habe kurz die F-Droid-Version geprüft: Selbes Verhalten.
John Doe sagt:

22. Juni 2021 um 13:53 Uhr

Was hier passiert, sollte doch imho klar sein: Acceptable Tracking. Das Geschäftsmodell kennen wir von der eyeo GmbH mit Adblock Plus.
- Mike Kuketz sagt:
  
  22. Juni 2021 um 16:57 Uhr
  
  Das ist nicht abschließend geklärt. Warten wir mal die Stellungnahme von DuckDuckGo ab.
Andreas sagt:

22. Juni 2021 um 15:58 Uhr

Hi Mike, deine Browser-Test Reihe ist echt spannend. Danke für deine Mühe.

Ich hatte befürchtet dass der DDG Browser so abschneidet, was mich direkt wieder an der Nutzung der gleichnamigen Suchmaschine zweifeln lässt (mit anderem Browser), die ich auch immer mit gemischten Gefühlen nutze.
Rafael sagt:

22. Juni 2021 um 20:13 Uhr

Großartiger Test. Als Nutzer der Webseite duckduckgo.com bin ich sehr daran interessiert, zu erfahren, ob die Werbeversprechen eingelöst werden.

Könnte es sein, dass die ausgenommenen Seiten aus dem Nutzerfeedback generiert werden? In der Browser-Addon-Variante gibt es nämlich die Möglichkeit, Webseiten zu melden, auf denen der Blocker ein Fehlverhalten oder gar eine komplette Ladehemmung verursacht. Besonders bei Bankingseiten, die auf das Nachladen von Sicherheitsfunktionen angewiesen sind, kann das zutreffen. Daher die Annahme, dass die Ausnahme-Datei damit etwas zu tun haben könnte. Im positiven Fall könnte man dann annehmen, der Anbieter versucht, die Nutzung der App so fehlerlos wie möglich zu gestalten. Dennoch wäre ein Hinweis, dass gewisse Webseiten aus diesem Grund vom Schutz ausgenommen sind, unbedingt notwendig!
- Mike Kuketz sagt:
  
  22. Juni 2021 um 20:24 Uhr
  
  Dem Stimme ich zu.
  
  Allerdings funktionierte Spiegel-Online auch dann noch, als der Tracking-Schutz aktiv war. Und selbst wenn Seiten aufgrund des Tracking-Schutzes nicht einwandfrei funktionieren, wäre es sinnvoller den Tracking-Schutz nicht vollständig zu deaktivieren, sondern das problematische Skript zu erlauben. Eine generelle Abschaltung – ohne einen Hinweis – kann wohl kaum im Interesse der Nutzer sein. Zumal die Datenschutzbewertung einer Website davon ebenfalls betroffen ist.
rugk sagt:

29. Juni 2021 um 20:59 Uhr

Fairerweise solltest du hier noch das Statement von DuckDuckGo zu trackers-unprotected-temporary.txt verlinken, was sie abgegeben haben, denn „[a]us welchem Grund der Tracking-Schutz auf diesen Webseiten nicht greift lässt sich” jetzt eben doch „abschließend beurteilen”.

TL;DR ist es wie du vermutet hast, die Webseites sind aktuell kaputt mit Trackingblocker. Wichtig auch noch zu wissen: Die liste ist temporär, die Webseites werden also wieder entfernt, wenn das Problem gefixt wurde.

Für mehr, bitte die offizielle Stellungnahme lesen:
Siehe: https://www.kuketz-blog.de/duckduckgo-erweiterung-der-stellungnahme/
- Mike Kuketz sagt:
  
  30. Juni 2021 um 10:16 Uhr
  
  Ist schon verlinkt.
  
  Und noch als Ergänzung: Teilweise sind die Webseiten sehr lange in der temporären Liste. Aber DuckDuckGo hat angekündigt, da etwas mehr Fokus drauf zu legen und den Nutzer auch über die Abschaltung/Deaktivierung des Tracking-Schutzes zu informieren.
GWI sagt:

30. Juni 2021 um 07:17 Uhr

Ich kann mich den Vorrednern/Vorschreibern nur anschließen. Der Browsertest ist wirklich Klasse. Man müsste dem Versprechen der DuckDuckGo-Machern sonst blind vertrauen. Besonders die Ausnahme der Webseite der Fa. Dyson (www.dyson.com) von der Blocking-Liste empfinde ich als besonders dreist.

Für mich kann es dafür keinen nachvollziehbaren Grund, wie bei einer Ausnahme einer Banking-Seite, geben.

Wenn es tatsächlich um den Schutz der Privatsphäre ginge, dann müsste der Benutzer des Browsers die Ausnahmeregeln selber defninieren können und vor allem auch über den Umstand informiert werden.

Danke für Deine Arbeit!
- Mike Kuketz sagt:
  
  30. Juni 2021 um 10:18 Uhr
  
  Für verwerflich halte ich die Liste nicht und auch für nachvollziehbar. Aber was halt nicht optimal ist: Für den Nutzer ist nicht transparent bzw. ersichtlich, wann und ob eine besuchte Webseite vom Tracking-Schutz (temporär) ausgenommen ist. Das sollte besser gelöst werden. Hier hat DuckDuckGo Nachbesserung angekündigt.

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (400)

DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12