1. Iridium Browser

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »nach Hause telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Iridium Browser analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Iridium Browser ist wie folgt:

Betriebssystem: Windows 10 Pro (Version 20H2)
Version: 2020.11.85 (Offizielles Build basierend auf Chromium 85.0.4183.83) (64-Bit)
Konfiguration: Standardkonfiguration (keine Anpassungen)

Iridium Browser wirbt aktuell wie folgt:

A browser securing your privacy. That’s it.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Google zum Host »redirector.gvt1.com«:

GET /edgedl/chrome/dict/de-de-3-0.bdic HTTP/1.1
Host: redirector.gvt1.com
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

Anfrage nach einem (deutschen) Wörterbuch für die Rechtschreibprüfung.

[2] Verbindungsaufbau zu Iridium zum Host »cache.iridiumbrowser.de«:

GET /client_model_v5_variation_0.pb HTTP/1.1
Host: cache.iridiumbrowser.de
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

Ich habe mal bei den Entwicklern angefragt, was dieser Aufruf bezweckt, da ich ihn nicht genau zuordnen kann. Sobald ich eine Antwort habe, werde ich den Beitrag anpassen.

Antwort der Entwickler:

Abgefragt werden, wie ihr schon herausgefunden habt, die URIs /client_model_v5_variation_0.pb und /plugins_3/plugins_win.json. Das sind dieselben Dateien, wie sie auch von ssl.gstatic.com kämen.

Wird hieraus getriggert https://github.com/chromium/chromium/blob/master/chrome/browser/plugins/plugins_resource_service.cc#L56 bzw. die gleichen Stellen in IB.

[3] Verbindungsaufbau zu Iridium zum Host »cache.iridiumbrowser.de«:

GET /plugins_3/plugins_win.json HTTP/1.1
Host: cache.iridiumbrowser.de
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Ich habe mal bei den Entwicklern angefragt, was dieser Aufruf bezweckt, da ich ihn nicht genau zuordnen kann. Sobald ich eine Antwort habe, werde ich den Beitrag anpassen.

[4] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$req=ChMKCGNocm9taXVtEgcyMDIwLjExGgwIARABIgQgASACKAMaDAgFEAEiBCABIAIoARoMCAEQASIEIAEgAigBGgwIAxABIgQgASACKAEaDAgHEAEiBCABIAIoARoMCAEQCCIEIAEgAigEGgwIDxABIgQgASACKAEiAggB&$ct=application/x-protobuf&key=dummytoken HTTP/1.1
Host: safebrowsing.googleapis.com
X-Http-Method-Override: POST
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Iridium in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$req=ChMKCGNocm9taXVtEgcyMDIwLjExGgwIARABIgQgASACKAMaDAgFEAEiBCABIAIoARoMCAEQASIEIAEgAigBGgwIAxABIgQgASACKAEaDAgHEAEiBCABIAIoARoMCAEQCCIEIAEgAigEGgwIDxABIgQgASACKAEiAggB&$ct=application/x-protobuf&key=dummytoken HTTP/1.1
Host: safebrowsing.googleapis.com
X-Http-Method-Override: POST
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Während dem Test kontaktiert Iridium ca. alle 30 Minuten die Adresse »safebrowsing.googleapis.com«, um die Blockliste herunterzuladen. Über »Einstellungen -> Datenschutz und Sicherheit -> Sicherheit« lässt sich das Verhalten anpassen:

Safe Browsing
- Kein Schutz (nicht empfohlen): Check

[2] Verbindungsaufbau zu Google zum Host »translate.googleapis.com«:

GET /translate_a/l?client=chrome&hl=de&key=dummytoken HTTP/1.1
Host: translate.googleapis.com
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Accept-Encoding: gzip, deflate
Connection: close

Sobald man die Browser-Einstellungen aufruft, erfolgt ein Aufruf zum Host »translate.googleapis.com«, der von der Gegenseite mit einem Array aus Sprachen beantwortet wird:

{
   "sl":{
      "auto":"Sprache erkennen",
      "af":"Afrikaans",
      "sq":"Albanisch",
      "am":"Amharisch",
      "ar":"Arabisch",
      "hy":"Armenisch",
      [...]

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Iridium Browser basiert auf Chromium – eine quelloffene Version des Google-Browsers Chrome. Aufgrund der Nähe zu Google (Funktionalitäten wie Safe Browsing oder den Chrome Web Store für Extensions) ist Chromium bzw. darauf basierende Projekte meist eng mit Google verbandelt. Beim Iridium Browser ist das anders. Der Browser hat viele Verbindungen zu Google gekappt, indem einige Funktionen deaktiviert wurden. Das Projekt-Wiki gibt eine Übersicht:

Disable background mode
Disable EV certificates, so they are shown just like „normal“ certificates
Disable Google cloud printing
Disable Google hot word detection
Disable Google experiments status check
Disable Google translation service
Disable Google promotion fetching
Disable Google Cloud Messaging (GCM) status check
Disable Google Now
Disable automatic update check
Disable profile-import on first run

Google Safe Browsing ist standardmäßig allerdings aktiviert – lässt sich über die Einstellungen aber abstellen.

Beim Iridium Browser handelt es sich um einen Fork (Abspaltung) von Chromium. Forks haben allerdings im Vergleich zum Mutterprojekt den Nachteil, dass diese meist nur von wenigen Entwicklern begleitet werden. Sicherheitsaktualisierungen werden beim Iridium Browser meist mit einer Verzögerung eingepflegt. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Chromium grassiert bzw. geschlossen wurde – es kann unter Umständen etwas dauern, bis der Patch/Aktualisierung seinen Weg in den Iridium Browser findet.

Hinweis

Die aktuelle Version des Iridium Browsers (2020.11.85) basiert übrigens auf Chromium 85.0.4183.83 vom 25. August 2020. Das ist gnadenlos veraltet. Auch diesbezüglich habe ich eine Anfrage an die Entwickler gesendet, ob sie die Sicherheitsaktualisierungen portieren oder der Browser schlichtweg unsicher ist. Die Pakete für Systeme, die auf Debian aufbauen, basieren sogar auf der Chromium-Version 73.0.3683.103 – werden aber auch als »outdated« angezeigt.

Erwähnenswert ist auch noch, dass der Browser sich nicht automatisch aktualisiert. Die Entwickler begründen das wie folgt:

Iridium Browser does not download and install updates automatically as it would need to call home which is blocked for maximum privacy. Therefore updates can only be applied manually by downloading and installing the latest build. This will not affect settings or saved bookmarks. Use chrome://version to check your build version. Latest build versions can always be found in the download section. It is recommended to add the RSS feed in order to get information about the latest releases.

Man muss sich also auch um die Updates kümmern – jedenfalls unter Windows und macOS.

3.2 Suchmaschine

Qwant ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suchmaschine« lässt sich die Suchmaschine anpassen.

3.3 Tracking

Iridium Browser trackt/verfolgt den Nutzer in keinster Weise.

3.4 Add-ons/Erweiterungen

Iridium Browser basiert zwar auf Chromium, unterstützt allerdings nicht den Chrome Webstore. Alternativ können Add-ons über den CRX-Downloader installiert und manuell aktualisiert werden. In der FAQ zum Iridium Browser gibt es dazu weitere Informationen:

Updating the extensions automatically does not work, as it would require a connection to the Chrome Web Store. This is also the reason why the extensions panel at chrome://extensions does not fully work — disabling/enabling (check box) and removing (trash can) will not work. Also, all extensions will show a ‘Not from Chrome Web Store’ note, even if downloaded from there.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Insgesamt hinterlässt Iridium Browser einen enttäuschenden Eindruck. Der Download des Wörterbuchs und die Kontaktaufnahme zu Google-Translate, sobald man die Browser-Einstellungen aufruft, zeigt, dass es nicht einfach ist, die enge Verbandelung mit Google restlos aufzulösen. Das löst der Ungoogled Chromium besser. Immerhin lässt sich Google Safe Browsing über die Einstellungen deaktivieren.

Nicht entschuldbar bzw. grob fahrlässig ist die Chrome-Version (85.0.4183.83), auf der der Iridium Browser basiert. Die aktuelle Chromium-Version (91.0.4472.77) ist vom 25. Mai. Allein die Version 90.0.4430.93 vom 26. April behebt insgesamt neun Sicherheitslücken, von denen drei explizit mit »High« eingestuft wurden.

Wir erinnern uns mal kurz an den Marketingspruch, mit der Iridium Browser beworben wird:

A browser securing your privacy. That’s it.

Nicht einmal das löst Iridium Browser zufriedenstellend. Von der Sicherheit mal ganz abgesehen.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (400)

Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7