LineageOS WebView-Bug: Ungewollte Verbindungen zu »content-autofill.googleapis.com«

Gestern Abend hat mich Izzy per E-Mail auf ein seltsames Verhalten aufmerksam gemacht: In mehreren App-Reviews wird bemängelt, dass eine Verbindung zu Google-Servern initiiert wird, wenn in einer WebView ein Eingabefeld eingeblendet/ausgewählt wird. Betroffen ist offenbar ausschließlich LineageOS (bzw. Ableger davon). Es wird dann jedes Mal eine Verbindung zu content-autofill.googleapis.com geöffnet. Mir selbst ist diese Verbindung ebenfalls schon bei der Browser-Check-Serie aufgefallen, als ich den Privacy Browser getestet habe. Die relevante Stelle aus dem Beitrag nachfolgend:

[1] Verbindungsaufbau zu Google zum Host »content-autofill.googleapis.com«:

GET /v1/pages/ChNDaHJvbWUvOTAuMC40NDMwLjgyEhAJ07mi3Bp4sQoSBQ27V1Zq?alt=proto HTTP/1.1
Host: content-autofill.googleapis.com
Connection: close
X-Goog-Encode-Response-If-Executable: base64
X-Goog-Api-Key: dummytoken
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/90.0.4430.82 Mobile Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Jedes Mal, wenn der Browser ein Eingabefeld auf einer Webseite findet, öffnet er offenbar eine Verbindung zur Adresse content-autofill.googleapis.com. Weshalb ein Autofill-Service für Formulare eine Verbindung zu Google initiieren muss, erschließt sich mir nicht. Ich habe den Entwickler (Soren Stoutner) angeschrieben, damit er sich dazu äußern kann. Ich vermute fast, der Aufruf kommt deshalb zustande, weil der Privacy Browser die System WebView zur Darstellung von Webseiten nutzt und diese den Verbindungsaufbau (indirekt) verursacht.

Übrigens: Auf dem googlefreien System (GrapheneOS) konnte ich keine Verbindungen zu »content-autofill.googleapis.com« feststellen.

Eben jenes Verhalten scheint Izzy nun auch bei anderen Apps beobachtet zu haben. Hier eine Auswahl:

• Nextcloud Maps via Nextcloud SSO: Strange call to content-autofill.googleapis.com during login #388
• Passky: com.rabbitcompany.passky

Der Entwickler von Privacy Browser führt das Verhalten auf einen Bug in der WebView-Komponente von LineageOS zurück.

Nach den Beobachtungen von Izzy schließe ich mich diesem Urteil an. Da scheint es ein »Leck« zu geben, was bei LineageOS gefixt werden sollte.

---

Ähnliche Beiträge

16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.

9. November 2021

Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser - er lässt sich aber zu einem umwandeln.

29. Juni 2021

Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13

Die Voreinstellungen des Browsers sind eine Katastrophe – insgesamt hinterlässt Opera einen geradezu datenschutzfeindlichen Gesamteindruck. Am besten schützt man seine Privatsphäre und Sicherheit mit der Deinstallation von Opera.

15. Juni 2021

SRWare Iron: Datensendeverhalten Desktop-Version – Browser-Check Teil10

SRWare Iron übermittelt jede Suchanfrage an den Hersteller, bevor diese von Bing oder Startpage beantwortet wird. Ein Datenschutz-Supergau »made in Germany«.

17. Mai 2021

Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

Der Browser Microsoft Edge ist ein schwerer Datenschutzunfall. Selbst im privaten Modus wird die komplette URL in die Microsoft-Cloud übermittelt.