Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

1. ChromeChrome

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Chrome analysiert, der für Windows, macOS, Linux, Android und iOS verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Chrome ist wie folgt:

  • Betriebssystem: Windows 10 Pro (Version 20H2)
  • Version: 96.0.4664.45 (Offizielles Build – Windows) (64-Bit)
  • Konfiguration: Standardkonfiguration (keine Anpassungen)

Chrome wird aktuell wie folgt beworben:

Entdecken Sie die Welt – mit dem Browser von Google

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Google zum Host »clients2.google.com«:

GET /service/update2/crx?os=win&arch=x64&os_arch=x86_64&nacl_arch=x86-64&prod=chromecrx&prodchannel=&prodversion=96.0.4664.45&lang=de&acceptformat=crx3&x=id%3Dnmmhkkegccagdldgiimedpiccmgmieda%26v%3D0.0.0.0%26installedby%3Dother%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Daapocclcgogkmnckokdopfmhonfmgoek%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Daohghmighlieiainnegkcijnfilokake%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Dapdfllckaahabafndbhieahigkjlhalf%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Dblpcfgokakmgnkcojhhkbfbldkacnbeo%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Dfelcaaldnbdncclmgdcncolpebgiejap%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Dghbmnnjooekpmoecnnnilnnbdlolhkhi%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1&x=id%3Dpjkljhegncpnkpknbcohdijeoejaedia%26v%3D0.0.0.0%26installedby%3Dinternal%26uc%26ping%3Dr%253D-1%2526e%253D1 HTTP/2
Host: clients2.google.com
X-Goog-Update-Interactivity: fg
X-Goog-Update-Appid: aapocclcgogkmnckokdopfmhonfmgoek,aohghmighlieiainnegkcijnfilokake,apdfllckaahabafndbhieahigkjlhalf,blpcfgokakmgnkcojhhkbfbldkacnbeo,felcaaldnbdncclmgdcncolpebgiejap,ghbmnnjooekpmoecnnnilnnbdlolhkhi,nmmhkkegccagdldgiimedpiccmgmieda,pjkljhegncpnkpknbcohdijeoejaedia
X-Goog-Update-Updater: chromecrx-96.0.4664.45
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Über die Adresse »clients2.google.com« stößt der Browser seinen Update-Prozess an und sucht nach Aktualisierungen für die mitgelieferten bzw. zusätzlich installierten Add-ons.

[2] Verbindungsaufbau zu Google zum Host »accounts.google.com«:

POST /ListAccounts?gpsia=1&source=ChromiumBrowser&json=standard HTTP/2
Host: accounts.google.com
Content-Length: 1
Origin: https://www.google.com
Content-Type: application/x-www-form-urlencoded
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Direkt nach dem Start wird eine Verbindung zur Adresse »accounts.google.com« initiiert. Dahinter verbirgt sich eine Google-Domain, die eine Anmeldung an ein bestehendes Google-Konto ermöglicht. Nach der Anmeldung kann der Browser Lesezeichen, Verlauf, Passwörter, Einstellungen etc. über alle Geräte synchronisieren.

[3] Verbindungsaufbau zu Google zum Host »clientservices.googleapis.com«:

GET /chrome-variations/seed?osname=win&channel=stable&milestone=96 HTTP/2
Host: clientservices.googleapis.com
If-None-Match: cba02108c4edba3b6ed5fc1415b8d21f9863a990
A-Im: x-bm,gzip
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate

Die Gegenstelle »clientservices.googleapis.com« wird von Chrome benutzt, um Nutzungsdaten und Absturzberichte an Google zu übermitteln. Bei der mitgeschnittenen Anfrage werden GZIP-komprimierte Binärdaten zurückgeliefert. 

Die Übermittlung von Nutzungsstatistiken und Absturzberichten lässt sich über »Einstellungen -> Google und ich -> Synchronisierung und Google-Dienste -> Helfen, die Funktionen und die Leistung von Chrome zu verbessern« deaktivieren. Nach der Deaktivierung erfolgt dennoch bei jedem Start von Chrome ein Aufruf zu »clientservices.googleapis.com«.

[4] Verbindungsaufbau zu Google zum Host »www.googleapis.com«:

POST /chromewebstore/v1.1/items/verify HTTP/1.1
Host: www.googleapis.com
Content-Length: 119
Content-Type: application/json
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

{
   "hash":"GwS+Fnx/tjaeTEDUfGK1BLWqdJEGHb0+17K6hk/9ajM=",
   "ids":[
      "aohghmighlieiainnegkcijnfilokake"
   ],
   "protocol_version":1
}

Die Domain »www.googleapis.com« ist ebenfalls in den Update-Prozess des Browsers involviert. Als Antwort auf die oben dargestellte Anfrage erhält Chrome Signaturen, Ablaufdatum und öffentliche Schlüssel, die die Integrität bzw. Echtheit eines Add-ons sicherstellen sollen.

[5] Verbindungsaufbau zu Google zum Host »update.googleapis.com«:

POST /service/update2/json?cup2key=11:148971967&cup2hreq=9e306c7bc8abb79357ccf47ebfd7c7f949e3f787715fb59473168c2a0e8b0d57 HTTP/1.1
Host: update.googleapis.com
Content-Length: 3743
X-Goog-Update-AppId: ihnlcenocehgdaegdmhbidjhnhdchfmm,hnimpnehoodheedghdeeijklkeaacbdc,gcmjkmgdlgnkkcocmoeiminaijmmjnii,cmahhnpholdijhjokonmfdjbfmklppij,obedbbhbpmojnkanicioggnmelmoomoc,lmelglejhemejginpboagddgdfbepgmp,kiabhabjdbkjdpjbpigfodbdjmbglcoo,giekcmmlnklenlaomppkphknjmnnpneh,khaoiebndkojlmppeemjhbpbandiljpe,hfnkpimlhhgieaddgfemjhofmfblmnib,llkgjffcdpffmhiakmfcdcblohccpfmo,laoigpblnllgcgjnjnllmfolckpjlhki,gkmgaooipdjhmangpemjhigmamcehddo,ehgidpndbllacpjalkiimkbadgjfnnmc,efniojlnjndmcbiieegkicadnoecjjef,jflookgnkcckhobaglndicnbbgbonegd,ggkkehgbnfjpeggfpleeakpidbkibbmn,jamhcnnkihinmdlkakkaopbjbbcngflc,dhlpobdgcjafebgbbhjdnapejmpkgiie,ojhpjlocmbogdgmfpkhlaaeamibhnphh,eeigpngbgcognadeebkilcpcaedhellh,pdafiollngonhoadbmdoemagnfpdphbe,imefjhfbkmcmebodilednhmaccmincoa,oimompecagnajdejgnnjijobebaeigek
X-Goog-Update-Interactivity: bg
X-Goog-Update-Updater: chrome-96.0.4664.45
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

{"request":{"@os":"win","@updater":"chrome","acceptformat":"crx2,crx3","app":[{"appid":"ihnlcenocehgdaegdmhbidjhnhdchfmm","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"hnimpnehoodheedghdeeijklkeaacbdc","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"gcmjkmgdlgnkkcocmoeiminaijmmjnii","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"cmahhnpholdijhjokonmfdjbfmklppij","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"accept_locale":"DE500000","appid":"obedbbhbpmojnkanicioggnmelmoomoc","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"lmelglejhemejginpboagddgdfbepgmp","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"kiabhabjdbkjdpjbpigfodbdjmbglcoo","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"giekcmmlnklenlaomppkphknjmnnpneh","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"khaoiebndkojlmppeemjhbpbandiljpe","brand":"GGLS","enabled":true,"ping":{"r":-2},"tag":"default","updatecheck":{},"version":"0.0.0.0"},{"appid":"hfnkpimlhhgieaddgfemjhofmfblmnib","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"llkgjffcdpffmhiakmfcdcblohccpfmo","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"laoigpblnllgcgjnjnllmfolckpjlhki","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"1.0.6.0"},{"appid":"gkmgaooipdjhmangpemjhigmamcehddo","brand":"GGLS","enabled":true,"ping":{"r":-2},"tag":"canary_eset_b","updatecheck":{},"version":"0.0.0.0"},{"appid":"ehgidpndbllacpjalkiimkbadgjfnnmc","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"efniojlnjndmcbiieegkicadnoecjjef","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"jflookgnkcckhobaglndicnbbgbonegd","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"ggkkehgbnfjpeggfpleeakpidbkibbmn","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"jamhcnnkihinmdlkakkaopbjbbcngflc","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"dhlpobdgcjafebgbbhjdnapejmpkgiie","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"ojhpjlocmbogdgmfpkhlaaeamibhnphh","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"eeigpngbgcognadeebkilcpcaedhellh","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"pdafiollngonhoadbmdoemagnfpdphbe","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"0.0.0.0"},{"appid":"imefjhfbkmcmebodilednhmaccmincoa","brand":"GGLS","enabled":true,"ping":{"r":-2},"tag":"default","updatecheck":{},"version":"0.0.0.0"},{"appid":"oimompecagnajdejgnnjijobebaeigek","brand":"GGLS","enabled":true,"ping":{"r":-2},"updatecheck":{},"version":"4.10.2391.0"}],"arch":"x64","dedup":"cr","domainjoined":false,"hw":{"physmemory":12},"lang":"de","nacl_arch":"x86-64","os":{"arch":"x86_64","platform":"Windows","version":"10.0.19042.1320"},"prodversion":"96.0.4664.45","protocol":"3.1","requestid":"{4ce309d3-cf4f-49ab-ba61-9907f17c361b}","sessionid":"{188a864f-b7f8-4c03-adff-95e815de5bbb}","updater":{"autoupdatecheckenabled":true,"ismachine":true,"lastchecked":0,"laststarted":0,"name":"Omaha","updatepolicy":-1,"version":"1.3.36.112"},"updaterversion":"96.0.4664.45"}}

Über die Adresse »update.googleapis.com« prüft und bezieht Chrome Aktualisierungen für die (vor-)installierten Add-ons bzw. Browser-Erweiterungen.

Die Prüfung auf Updates übermittelt auch einige Informationen zum System:

"arch":"x64",
"dedup":"cr",
"domainjoined":false,
"hw":{
   "physmemory":12
},
"ismachine":true,
"lang":"de",
"nacl_arch":"x86-64",
"os":{
   "arch":"x86_64",
   "platform":"Windows",
   "version":"10.0.19042.1320"
},
"prodversion":"96.0.4664.45",
"protocol":"3.1",
"requestid":"{dc784acc-cff6-4adf-9b47-a35b669bd073}",
"sessionid":"{09f71aae-03ce-4aec-a7b3-ada5955306f2}",
"updater":{
   "autoupdatecheckenabled":true,
   "ismachine":true,
   "lastchecked":0,
   "laststarted":0,
   "name":"Omaha",
   "updatepolicy":-1,
   "version":"1.3.36.112"
},
"updaterversion":"96.0.4664.45"

[6] Verbindungsaufbau zu Google zum Host »www.gstatic.com«:

GET /chrome/config/plugins_3/plugins_win.json HTTP/1.1
Host: www.gstatic.com
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Die angefragte Datei »plugins_win.json« liefert Metadaten zu Plugins bzw. Add-ons wie Mime-Types, Versionsnummern und Kommentare:

{
   "x-version": 62,
   "adobe-flash-player": {
      "mime_types": [
         "application/futuresplash",
         "application/x-shockwave-flash"
      ],
      "versions": [
      {
         "version": "32.0.0.466",
         "status": "requires_authorization",
         "reference": "https://www.adobe.com/products/flashplayer/end-of-life.html"
      }
      ],
      "lang": "en-US",
      "name": "Adobe Flash Player",
      "help_url": "https://support.google.com/chrome/?p=plugin_flash",
      "url": "https://www.adobe.com/products/flashplayer/end-of-life.html",
      "displayurl": true,
      "group_name_matcher": "*Shockwave Flash*"
   },
   [...]

[7] Verbindungsaufbau zu Google zum Host »optimizationguide-pa.googleapis.com«:

POST /v1:GetModels?key=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/1.1
Host: optimizationguide-pa.googleapis.com
Content-Length: 20
Content-Type: application/x-protobuf
X-Client-Data: CLG1yQEIkrbJAQijtskBCMS2yQEIqZ3KAQjU0coBCNiMywEI6vLLAQjv8ssBCJ75ywEI5oTMAQj5hMwBCLaFzAEI/4XMAQjLicwBCI6NzAE=
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

* de

An die Gegenstelle »optimizationguide-pa.googleapis.com« wird die erkannte Spracheinstellung (de – Deutsch) übermittelt. Danach wird erneut ein GET-Request versendet:

GET /downloads?name=2110181535&target=OPTIMIZATION_TARGET_LANGUAGE_DETECTION HTTP/2

Zurückgeliefert wird eine Binärdatei mit 265057 Bytes bzw. 258,84 Kilobytes. Welche Informationen Chrome hier genau bezieht, kann ich nicht abschließend beurteilen.

Generell handelt es sich bei der Gegenstelle »*.googleapis.com« um eine von Google entwickelte Anwendungsschnittstelle (APIs), die die Kommunikation mit Google-Diensten wie der Suche, Google Mail oder Google Maps ermöglicht.

[8] Verbindungsaufbau zu Google zum Host »sb-ssl.google.com«:

POST /safebrowsing/clientreport/download?key=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/1.1
Host: sb-ssl.google.com
Content-Length: 411
Content-Type: application/octet-stream
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

shttps://optimizationguide-pa.googleapis.com/downloads?name=2110181535&target=OPTIMIZATION_TARGET_LANGUAGE_DETECTION"[...]"shttps://optimizationguide-pa.googleapis.com/downloads?name=2110181535&target=OPTIMIZATION_TARGET_LANGUAGE_DETECTION

Der Aufruf zu »optimizationguide-pa.googleapis.com« löst eine Anfrage an »sb-ssl.google.com« aus. Der Grund: Google Safe Browsing ist aktiv und übermittelt die Download-URL an den Dienst, der dann prüft, ob es sich hierbei um Schadsoftware handelt, um den Nutzer gegebenenfalls zu warnen bzw. den Download zu blockieren.

Anbei ein weiters Beispiel von solch einer Übermittlung an Google beim Download von »Free YouTube to MP3 Converter« auf chip.de:

POST /safebrowsing/clientreport/download?key=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/2
Host: sb-ssl.google.com
Cookie: NID=511=T_3XKO8Wyptsnf5xIjBhngKTYZBmW1vow6k0H-iKDCy5U2izgvgJ3KBjZgUl-Uyo3gcF5hDAfcThISb-ZZPm6DR005HpYdhfYaARezLIL8QhlXJhSxr1OveqYfXnxIO0QnpngilFuutclLY7jy6wHDglhuJOCf86vJXgtdUUMF4
Content-Length: 8783
Content-Type: application/octet-stream
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate

https://securedl.cdn.chip.de/downloads/3803430/FreeYouTubeToMP3Converter_4.3.60_1112.exe?cid=54422427&platform=chip&1637054575-1637062075-b89a34-B-85f0c075c12c53347cb27319096b7534.exe

[...]

Chrome übermittelt also die URLs von Downloads an Google zu Prüfung. Diese Funktionsweise von Google Safe Browsing ist mir nur von Chrome bekannt. Zitat aus der Datenschutzerklärung:

Einige Chrome-Versionen verfügen über eine Safe Browsing-Technologie, mit der potenziell schädliche Websites und potenziell gefährliche Dateitypen erkannt werden, die Google noch unbekannt sind. Die vollständige URL der Website oder potenziell gefährlichen Datei kann auch an Google gesendet werden, um festzustellen, ob es sich tatsächlich um eine schädliche Website oder Datei handelt.

[9] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$req=ChwKDGdvb2dsZWNocm9tZRIMOTUuMC40NjM4LjY5GgwIBRABIgQgASACKAEaDAgBEAEiBCABIAIoARoMCAMQASIEIAEgAigBGgwIBxABIgQgASACKAEaDAgBEAEiBCABIAIoAxoMCAEQCCIEIAEgAigEGgwICRABIgQgASACKAYaDAgPEAEiBCABIAIoARoMCAoQCCIEIAEgAigBGgwICRABIgQgASACKAEaDAgIEAEiBCABIAIoARoMCA0QASIEIAEgAigBGgwIDhABIgQgASACKAEaDAgQEAEiBCABIAIoASICCAE=&$ct=application/x-protobuf&key=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/1.1
Host: safebrowsing.googleapis.com
X-Http-Method-Override: POST
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Chrome in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.

2.2 Während der aktiven Nutzung

Zunächst wird man bei Chrome von einem Willkommensfenster empfangen. Nachfolgend habe ich folgende Entscheidungen getroffen:

  • Chrome personalisieren -> Erste Schritte
    • Lesezeichen für Ihre Lieblings-Apps von Google hinzufügen: Überspringen
    • Hintergrund auswählen: Überspringen
    • Chrome als Standardbrowser festlegen: Überspringen
  • Ihr persönlicher Chrome-Browser – auf allen Geräten: Kein Interesse

Ich nehme also keine Verknüpfung mit einem bestehenden Google-Konto vor.

[1] Sobald die Entscheidungen getroffen sind bzw. beim Öffnen eines neuen Tabs, initiiert der Browser eine Verbindung zu »www.google.com« und lädt die Google-Sucheseite:

GET /async/ddljson?async=ntp:2 HTTP/2
Host: www.google.com
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Diesem GET-Request schließen sich dann noch drei weitere an:

  • GET /async/newtab_ogb?hl=de&async=fixed:0 HTTP/2
  • GET /async/newtab_promos HTTP/2
  • GET /gen_204?ei=3R-SYZiZIoGO9u8PsaaH2Ag&cad=i&id=19026818&ogprm=up&ct=16&prid=243 HTTP/2

Mit dem Laden der Seite »google.com« geht das Nachladen von etlichen Ressourcen (JavaScript, Stylesheet, Bilder, Schrift (WOFF2) etc.) einher:

  • gstatic.com (JavaScript)
  • ssl.static.com (PNG)
  • fonts.gstatic.com (WOFF2)

Bei der nachfolgenden Ziffer [2] ist beschrieben, wie man eine andere Suchmaschine festlegt. Sobald dies geschehen ist, werden beim Anlegen eines neuen Tabs keine Verbindungen mehr zu Google initiiert.

[2] Verbindungsaufbau zu Google zum Host »www.google.com«:

GET /complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&xssi=t&q=messenger-matrix.de&oit=3&cp=19&pgcl=7&gs_rn=42&psi=cxA4ppWq9zAqTIRB&sugkey=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/2
Host: www.google.com
X-Client-Data: CJG2yQEIorbJAQjBtskBCKmdygEIrufKAQjr8ssBCO/yywEInvnLAQjnhMwBCPqEzAEItYXMAQj/hcwBCMuJzAEIvYvMAQ==
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Während der Eingabe einer URL in der Adresszeile wird der Name der Domain an die Suchmaschine Google übermittelt. Google erhält über die Adresszeile also Kenntnis über jede Suchanfrage bzw. Webseite, die jemand besucht.

Über »Einstellungen -> Suchmaschine« sollte eine andere Suchmaschine (bspw. Startpage) festgelegt werden. Ebenso ist es sinnvoll unter »Einstellungen -> Google und ich -> Synchronisierung und Google-Dienste« die Option »Suchanfragen und URLs automatisch vervollständigen« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.

[3] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$req=ChwKDGdvb2dsZWNocm9tZRIMOTUuMC40NjM4LjY5GikIBRABGhsKDQgFEAYYASIDMDAxMAEQo-gMGgIYCdBOFtIiBCABIAIoARopCAEQARobCg0IARAGGAEiAzAwMTABEPfnCRoCGAns2j0uIgQgASACKAEaKQgDEAEaGwoNCAMQBhgBIgMwMDEwARDDqwkaAhgJl9HJ4SIEIAEgAigBGikIBxABGhsKDQgHEAYYASIDMDAxMAEQ954KGgIYCWCdG1kiBCABIAIoARonCAEQARoZCg0IARAGGAEiAzAwMTADEBQaAhgJzF08RSIEIAEgAigDGigIARAIGhoKDQgBEAgYASIDMDAxMAQQwCQaAhgJGePuYSIEIAEgAigEGicICRABGhkKDQgJEAYYASIDMDAxMAYQAxoCGAkHXakpIgQgASACKAYaKAgPEAEaGgoNCA8QBhgBIgMwMDEwARDucBoCGAnoAmJMIgQgASACKAEaJwgKEAgaGQoNCAoQCBgBIgMwMDEwARAHGgIYCez1IIwiBCABIAIoARonCAkQARoZCg0ICRAGGAEiAzAwMTABECAaAhgJd0u3HiIEIAEgAigBGigICBABGhoKDQgIEAYYASIDMDAxMAEQ1Q0aAhgJsbSKZiIEIAEgAigBGikIDRABGhsKDQgNEAYYASIDMDAxMAEQ2aYBGgIYCS9A0eQiBCABIAIoARopCA4QARobCg0IDhAGGAEiAzAwMTABEOmTBhoCGAlTxCLhIgQgASACKAEaKAgQEAEaGgoNCBAQBhgBIgMwMDEwARCjDhoCGAk6Bu6ZIgQgASACKAEiAggB&$ct=application/x-protobuf&key=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/1.1
Host: safebrowsing.googleapis.com
X-Http-Method-Override: POST
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Während dem Test kontaktiert Chrome ca. alle 30 Minuten die Adresse »safebrowsing.googleapis.com«, um die Blockliste herunterzuladen. Über »Einstellungen -> Datenschutz & Sicherheit -> Safe Browsing -> Kein Schutz (nicht empfohlen)« kann Google Safe Browsing deaktiviert werden.

[4] Verbindungsaufbau zu Google zum Host »update.googleapis.com«:

POST /service/update2/json HTTP/2
Host: update.googleapis.com
Content-Length: 917
Content-Type: application/json
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate

{"request":{"@os":"win","@updater":"chrome","acceptformat":"crx2,crx3","app":[{"appid":"ojhpjlocmbogdgmfpkhlaaeamibhnphh","event":[{"download_time_ms":4039,"downloaded":394133,"downloader":"bits","eventresult":1,"eventtype":14,"nextversion":"1","previousversion":"0.0.0.0","total":394133,"url":"http://edgedl.me.gvt1.com/edgedl/release2/chrome_component/APhHMzuprJvS7ixvnAk_gdI_1/anGnv31dmOJhheXBnYQ3gw"},{"eventresult":1,"eventtype":3,"nextfp":"1.478aa915e78878e332a0b4bb4d2a6fb67ff1c7f7b62fe906f47095ba5ae112d0","nextversion":"1","previousversion":"0.0.0.0"}],"version":"1"}],"arch":"x64","dedup":"cr","hw":{"physmemory":12},"lang":"de","nacl_arch":"x86-64","os":{"arch":"x86_64","platform":"Windows","version":"10.0.19042.1320"},"prodversion":"96.0.4664.45","protocol":"3.1","requestid":"{02327d08-6755-4029-b3b8-aebf613b289c}","sessionid":"{27ce652c-b17f-4ae3-b70a-d7f03d67bd2c}","updaterversion":"96.0.4664.45"}}

Über die Adresse »update.googleapis.com« prüft und bezieht Chrome auch im laufenden Betrieb Aktualisierungen für die (vor-)installierten Add-ons bzw. Browser-Erweiterungen.

[5] Verbindungsaufbau zu Google zum Host »translate.googleapis.com«:

GET /translate_a/l?client=chrome&hl=de&key=AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw HTTP/1.1
Host: translate.googleapis.com
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Sobald man die Browser-Einstellungen aufruft, erfolgt ein Aufruf zum Host »translate.googleapis.com«, der von der Gegenseite mit einem Array aus Sprachen beantwortet wird:

{
   "sl":{
      "auto":"Sprache erkennen",
      "af":"Afrikaans",
      "sq":"Albanisch",
      "am":"Amharisch",
      "ar":"Arabisch",
      "hy":"Armenisch",
      [...]

[6] Verbindungsaufbau zu Google zum Host »content-autofill.googleapis.com«:

GET /v1/pages/ChNDaHJvbWUvOTYuMC40NjY0LjQ1EhAJI-ETDbZMQQUSBQ09H1M8?alt=proto HTTP/1.1
Host: content-autofill.googleapis.com
X-Goog-Encode-Response-If-Executable: base64
X-Goog-Api-Key: AIzaSyBOti4mM-6x9WDnZIjIeyEU21OpBXqWBgw
X-Client-Data: CIS2yQEIpLbJAQjEtskBCKmdygEI2tHKAQjOlssBCOryywEInvnLAQjmhMwBCLaFzAEIy4nMAQiyi8wBCLeLzAE=
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

Jedes Mal, wenn der Browser ein Eingabefeld auf einer Webseite findet, öffnet er offenbar eine Verbindung zur Adresse »content-autofill.googleapis.com«. Weshalb ein Autofill-Service für Formulare eine Verbindung zu Google initiieren muss, erschließt sich mir nicht – eventuell können Felder wie Name, Adresse etc. vorausgefüllt übernommen werden, sobald eine Verknüpfung mit einem Google-Konto besteht.

Über »Einstellungen -> Automatisches Ausfüllen« lässt sich das Verhalten anpassen, indem man unter Zahlungsmethoden und Adressen das »Speichern und Ausfüllen« deaktiviert.

3. Er­wäh­nens­wert

3.1 Basis bzw. Unterbau

Chrome ist ein Browser von Google, dessen Quellcode zu einem großen Teil auf Chromium basiert, dessen Quellcode frei von jedem einsehbar ist. Im Gegensatz zu Chromium ist Chrome nicht vollständig quelloffen, sondern beinhaltet proprietäre Elemente wie:

  • Unterstützung von Codecs wie AAC, H.264 und mp3
  • Googles Update-Funktion, die den Browser automatisch aktualisiert
  • Übersendung von Nutzungsdaten und Absturzberichten an Google

Zur Darstellung/Rendering von Webseiten nutzt der Browser die Blink-Engine von Google. Im Oktober 2021 hatte Chrome einen Anteil von 65% an der weltweiten Internetnutzung – er ist damit der am häufigsten genutzte Browser auf Desktop-PCs, Smartphones und Tablets.

Es gibt einige Browser-Abspaltungen (Forks), die auf Chrome/Chromium basieren. Dazu zählen unter anderem:

3.2 Suchmaschine

Als Standardsuchmaschine ist Google voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an Google übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen.

Über »Einstellungen -> Suchmaschine« sollte eine andere Suchmaschine (bspw. Startpage) festgelegt werden. Ebenso ist es sinnvoll, unter »Einstellungen -> Google und ich -> Synchronisierung und Google-Dienste« die Option »Suchanfragen und URLs automatisch vervollständigen« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.

3.3 Tracking

Google verfolgt/trackt den Nutzer im Auslieferungszustand. Unter anderem werden Informationen zum Nutzungsverhalten und auch Absturzberichte versendet.

Die Übermittlung von Nutzungsstatistiken und Absturzberichten lässt sich über »Einstellungen -> Google und ich -> Synchronisierung und Google-Dienste -> Helfen, die Funktionen und die Leistung von Chrome zu verbessern« deaktivieren.

3.4 Add-ons/Erweiterungen

Erweiterungen (Add-ons) können über den Chrome Web Store installiert werden. Es werden Unmengen an Add-ons angeboten. Empfehlenswerte Add-ons findet ihr in der Empfehlungsecke – die Angaben dort beziehen sich zwar auf Firefox, lassen sich aber meist auch für Chrome/Chromium anwenden.

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

3.6 Datenschutzerklärung

Die Datenschutzerklärung sollte jeder Chrome-Nutzer aufmerksam gelesen haben. Insbesondere die Abschnitte Safe Browsing und Nutzungsstatistiken und Absturzberichte.

Zwei Zitate:

Standardmäßig werden Nutzungsstatistiken und Absturzberichte an Google gesendet, um uns bei der Verbesserung unserer Produkte zu unterstützen. Nutzungsstatistiken enthalten z. B. Informationen zu Einstellungen, zu Klicks auf Schaltflächen, Leistungsstatistiken oder zur Speicherauslastung. Im Allgemeinen enthalten Nutzungsstatistiken keine Webseiten-URLs oder personenbezogenen Daten. Wenn Sie jedoch „Suchanfragen und das Surfen verbessern/URLs der von Ihnen besuchten Seiten werden an Google gesendet“ aktiviert haben, enthalten die Chrome-Nutzungsstatistiken Informationen zu den von Ihnen besuchten Webseiten und zu Ihrer Nutzung. Wenn die Chrome-Synchronisierung aktiviert ist, wird Chrome möglicherweise Angaben zu Alter und Geschlecht in Ihrem Google-Konto mit unseren Statistiken kombinieren, um uns dabei zu unterstützen, Produkte zu entwickeln, die für alle demografischen Gruppen geeignet sind. Möglicherweise erheben wir zum Beispiel Statistiken, um Webseiten zu ermitteln, die nur langsam geladen werden. Wir verwenden diese Daten, um unsere Produkte und Dienste zu verbessern und um den Webentwicklern Informationen zur Verbesserung ihrer Webseiten zu geben. Absturzberichte enthalten Systeminformationen vom Zeitpunkt des Absturzes und unter Umständen auch URLs von Webseiten oder personenbezogene Daten, je nachdem, was zum Zeitpunkt passierte, als der Absturzbericht ausgelöst wurde. Wir geben möglicherweise zusammengefasste, nicht personenbezogene Daten an die Öffentlichkeit und unsere Partner weiter, beispielsweise an Publisher, Werbetreibende oder Webentwickler. Sie können jederzeit entscheiden, ob Nutzungsstatistiken und Absturzberichte an Google gesendet werden. Weitere Informationen. Wenn Google Play-Apps auf Ihrem Chromebook und Chrome-Nutzungsstatistiken aktiviert sind, werden auch Diagnose- und Nutzungsdaten von Android an Google gesendet.

Und:

Wenn Sie „Suchanfragen und das Surfen verbessern/URLs der von Ihnen besuchten Seiten werden an Google gesendet“ und Safe Browsing aktiviert haben, sendet Chrome die vollständige URL jeder Website, die Sie besuchen, an Google, um festzustellen, ob sie sicher ist. Falls Sie außerdem Ihren Browserverlauf ohne Synchronisierungs-Passphrase synchronisieren, werden diese URLs vorübergehend mit Ihrem Google-Konto verknüpft, damit Schutzmaßnahmen stärker personalisiert werden können. Diese Funktion ist im Inkognito- und Gastmodus deaktiviert.

[…]

Chrome durchsucht Ihren Computer mithilfe der Safe Browsing-Technologie regelmäßig nach unerwünschter Software, die Sie daran hindert, Ihre Einstellungen zu ändern oder die in anderer Weise die Sicherheit und Stabilität Ihres Browsers beeinträchtigt. Weitere Informationen finden Sie hier. Wird Chrome dabei fündig, kann Ihnen das Chrome Cleanup Tool zum Download angeboten werden, um die entsprechende Software damit zu entfernen.

4. Fazit

Wir erinnern uns mal kurz an den Marketingspruch, mit dem Chrome beworben wird:

Entdecken Sie die Welt – mit dem Browser von Google

Google versucht erst gar nicht für Privatsphäre oder Datenschutz zu werben. Angesichts der vorliegenden Ergebnisse wäre das auch völlig daneben. Im Grunde ist Chrome nur für jene empfehlenswert, die schon jetzt Google nutzen bzw. kein Problem damit haben, dass Google alle Informationen über einen selbst zentral speichert und auswertet. Datenschutzsensible Nutzer sollten hingegen einen großen Bogen um Chrome machen.

Persönlich möchte ich gar nicht wissen, welche Daten zwischen dem Browser und Google übermittelt werden, wenn jemand tatsächlich sein Google-Konto verknüpft. Dass Google den Nutzer ohne seine Einwilligung trackt dürfte ebenso wenig überraschen, wie die Übermittlung jeder Download-URL an den Tech-Konzern.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion
HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.