1. Iridium Browser
Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »nach Hause telefonieren« einschränken oder sogar vollständig abschalten lässt.
Im vorliegenden Beitrag wird Iridium Browser analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Iridium Browser ist wie folgt:
- Betriebssystem: Windows 10 Pro (Version 20H2)
- Version: 2020.11.85 (Offizielles Build basierend auf Chromium 85.0.4183.83) (64-Bit)
- Konfiguration: Standardkonfiguration (keine Anpassungen)
Iridium Browser wirbt aktuell wie folgt:
A browser securing your privacy. That’s it.
- Brave: Datensendeverhalten Desktop-Version – Browser-Check Teil1
- Ungoogled Chromium: Datensendeverhalten Desktop-Version – Browser-Check Teil2
- Bromite: Datensendeverhalten Android-App – Browser-Check Teil3
- Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4
- Vivaldi: Datensendeverhalten Desktop-Version – Browser-Check Teil5
- Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6
- Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7
- LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8
- Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9
- SRWare Iron: Datensendeverhalten Desktop-Version – Browser-Check Teil10
- Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11
- DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12
- Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13
- FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14
- Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15
- Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16
- UC Browser: Datensendeverhalten Android-App – Browser-Check Teil17
- iCab Mobile: Datensendeverhalten iOS-App – Browser-Check Teil18
- Safari: Datensendeverhalten iOS-App – Browser-Check Teil19
- Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
- Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21
2. Datensendeverhalten
2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion
[1] Verbindungsaufbau zu Google zum Host »redirector.gvt1.com«:
GET /edgedl/chrome/dict/de-de-3-0.bdic HTTP/1.1 Host: redirector.gvt1.com Sec-Fetch-Site: none Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: empty User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept-Encoding: gzip, deflate Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 Connection: close
Anfrage nach einem (deutschen) Wörterbuch für die Rechtschreibprüfung.
[2] Verbindungsaufbau zu Iridium zum Host »cache.iridiumbrowser.de«:
GET /client_model_v5_variation_0.pb HTTP/1.1 Host: cache.iridiumbrowser.de Sec-Fetch-Site: none Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: empty User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept-Encoding: gzip, deflate Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 Connection: close
Ich habe mal bei den Entwicklern angefragt, was dieser Aufruf bezweckt, da ich ihn nicht genau zuordnen kann. Sobald ich eine Antwort habe, werde ich den Beitrag anpassen.
Antwort der Entwickler:
Abgefragt werden, wie ihr schon herausgefunden habt, die URIs /client_model_v5_variation_0.pb und /plugins_3/plugins_win.json. Das sind dieselben Dateien, wie sie auch von ssl.gstatic.com kämen.
Wird hieraus getriggert https://github.com/chromium/chromium/blob/master/chrome/browser/plugins/plugins_resource_service.cc#L56 bzw. die gleichen Stellen in IB.
[3] Verbindungsaufbau zu Iridium zum Host »cache.iridiumbrowser.de«:
GET /plugins_3/plugins_win.json HTTP/1.1 Host: cache.iridiumbrowser.de Sec-Fetch-Site: none Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: empty User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept-Encoding: gzip, deflate Connection: close
Ich habe mal bei den Entwicklern angefragt, was dieser Aufruf bezweckt, da ich ihn nicht genau zuordnen kann. Sobald ich eine Antwort habe, werde ich den Beitrag anpassen.
[4] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:
GET /v4/threatListUpdates:fetch?$req=ChMKCGNocm9taXVtEgcyMDIwLjExGgwIARABIgQgASACKAMaDAgFEAEiBCABIAIoARoMCAEQASIEIAEgAigBGgwIAxABIgQgASACKAEaDAgHEAEiBCABIAIoARoMCAEQCCIEIAEgAigEGgwIDxABIgQgASACKAEiAggB&$ct=application/x-protobuf&key=dummytoken HTTP/1.1 Host: safebrowsing.googleapis.com X-Http-Method-Override: POST Sec-Fetch-Site: none Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: empty User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept-Encoding: gzip, deflate Connection: close
Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Iridium in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.
2.2 Während der aktiven Nutzung
[1] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:
GET /v4/threatListUpdates:fetch?$req=ChMKCGNocm9taXVtEgcyMDIwLjExGgwIARABIgQgASACKAMaDAgFEAEiBCABIAIoARoMCAEQASIEIAEgAigBGgwIAxABIgQgASACKAEaDAgHEAEiBCABIAIoARoMCAEQCCIEIAEgAigEGgwIDxABIgQgASACKAEiAggB&$ct=application/x-protobuf&key=dummytoken HTTP/1.1 Host: safebrowsing.googleapis.com X-Http-Method-Override: POST Sec-Fetch-Site: none Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: empty User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept-Encoding: gzip, deflate Connection: close
Während dem Test kontaktiert Iridium ca. alle 30 Minuten die Adresse »safebrowsing.googleapis.com«, um die Blockliste herunterzuladen. Über »Einstellungen -> Datenschutz und Sicherheit -> Sicherheit« lässt sich das Verhalten anpassen:
- Safe Browsing
- Kein Schutz (nicht empfohlen): Check
[2] Verbindungsaufbau zu Google zum Host »translate.googleapis.com«:
GET /translate_a/l?client=chrome&hl=de&key=dummytoken HTTP/1.1 Host: translate.googleapis.com Sec-Fetch-Site: none Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: empty User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept-Encoding: gzip, deflate Connection: close
Sobald man die Browser-Einstellungen aufruft, erfolgt ein Aufruf zum Host »translate.googleapis.com«, der von der Gegenseite mit einem Array aus Sprachen beantwortet wird:
{ "sl":{ "auto":"Sprache erkennen", "af":"Afrikaans", "sq":"Albanisch", "am":"Amharisch", "ar":"Arabisch", "hy":"Armenisch", [...]
3. Erwähnenswert
3.1 Basis bzw. Unterbau
Iridium Browser basiert auf Chromium – eine quelloffene Version des Google-Browsers Chrome. Aufgrund der Nähe zu Google (Funktionalitäten wie Safe Browsing oder den Chrome Web Store für Extensions) ist Chromium bzw. darauf basierende Projekte meist eng mit Google verbandelt. Beim Iridium Browser ist das anders. Der Browser hat viele Verbindungen zu Google gekappt, indem einige Funktionen deaktiviert wurden. Das Projekt-Wiki gibt eine Übersicht:
- Disable background mode
- Disable EV certificates, so they are shown just like „normal“ certificates
- Disable Google cloud printing
- Disable Google hot word detection
- Disable Google experiments status check
- Disable Google translation service
- Disable Google promotion fetching
- Disable Google Cloud Messaging (GCM) status check
- Disable Google Now
- Disable automatic update check
- Disable profile-import on first run
Google Safe Browsing ist standardmäßig allerdings aktiviert – lässt sich über die Einstellungen aber abstellen.
Beim Iridium Browser handelt es sich um einen Fork (Abspaltung) von Chromium. Forks haben allerdings im Vergleich zum Mutterprojekt den Nachteil, dass diese meist nur von wenigen Entwicklern begleitet werden. Sicherheitsaktualisierungen werden beim Iridium Browser meist mit einer Verzögerung eingepflegt. Das sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Chromium grassiert bzw. geschlossen wurde – es kann unter Umständen etwas dauern, bis der Patch/Aktualisierung seinen Weg in den Iridium Browser findet.
Hinweis
Die aktuelle Version des Iridium Browsers (2020.11.85) basiert übrigens auf Chromium 85.0.4183.83 vom 25. August 2020. Das ist gnadenlos veraltet. Auch diesbezüglich habe ich eine Anfrage an die Entwickler gesendet, ob sie die Sicherheitsaktualisierungen portieren oder der Browser schlichtweg unsicher ist. Die Pakete für Systeme, die auf Debian aufbauen, basieren sogar auf der Chromium-Version 73.0.3683.103 – werden aber auch als »outdated« angezeigt.Erwähnenswert ist auch noch, dass der Browser sich nicht automatisch aktualisiert. Die Entwickler begründen das wie folgt:
Iridium Browser does not download and install updates automatically as it would need to call home which is blocked for maximum privacy. Therefore updates can only be applied manually by downloading and installing the latest build. This will not affect settings or saved bookmarks. Use chrome://version to check your build version. Latest build versions can always be found in the download section. It is recommended to add the RSS feed in order to get information about the latest releases.
Man muss sich also auch um die Updates kümmern – jedenfalls unter Windows und macOS.
3.2 Suchmaschine
Qwant ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suchmaschine« lässt sich die Suchmaschine anpassen.
3.3 Tracking
Iridium Browser trackt/verfolgt den Nutzer in keinster Weise.
3.4 Add-ons/Erweiterungen
Iridium Browser basiert zwar auf Chromium, unterstützt allerdings nicht den Chrome Webstore. Alternativ können Add-ons über den CRX-Downloader installiert und manuell aktualisiert werden. In der FAQ zum Iridium Browser gibt es dazu weitere Informationen:
Updating the extensions automatically does not work, as it would require a connection to the Chrome Web Store. This is also the reason why the extensions panel at chrome://extensions does not fully work — disabling/enabling (check box) and removing (trash can) will not work. Also, all extensions will show a ‘Not from Chrome Web Store’ note, even if downloaded from there.
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.5 Private Browsing/Privates Fenster
Keine Auffälligkeiten.
4. Fazit
Insgesamt hinterlässt Iridium Browser einen enttäuschenden Eindruck. Der Download des Wörterbuchs und die Kontaktaufnahme zu Google-Translate, sobald man die Browser-Einstellungen aufruft, zeigt, dass es nicht einfach ist, die enge Verbandelung mit Google restlos aufzulösen. Das löst der Ungoogled Chromium besser. Immerhin lässt sich Google Safe Browsing über die Einstellungen deaktivieren.
Nicht entschuldbar bzw. grob fahrlässig ist die Chrome-Version (85.0.4183.83), auf der der Iridium Browser basiert. Die aktuelle Chromium-Version (91.0.4472.77) ist vom 25. Mai. Allein die Version 90.0.4430.93 vom 26. April behebt insgesamt neun Sicherheitslücken, von denen drei explizit mit »High« eingestuft wurden.
Wir erinnern uns mal kurz an den Marketingspruch, mit der Iridium Browser beworben wird:
A browser securing your privacy. That’s it.
Nicht einmal das löst Iridium Browser zufriedenstellend. Von der Sicherheit mal ganz abgesehen.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.