1. Mullvad Browser
Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.
Im vorliegenden Beitrag wird der Mullvad Browser analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test des Mullvad Browsers ist wie folgt:
- Betriebssystem: Windows 10 Pro (Version 22H2)
- Version: 12.0.4 (Offizielles Build – Windows) (64-Bit)
- Konfiguration: Standardkonfiguration (keine Anpassungen, lediglich Deaktivierung von DNS over HTTPS)
Der Mullvad Browser wird aktuell wie folgt beworben:
The Mullvad Browser is developed – in collaboration between Mullvad VPN and the Tor Project – to minimize tracking and fingerprinting.
- Brave: Datensendeverhalten Desktop-Version – Browser-Check Teil1
- Ungoogled Chromium: Datensendeverhalten Desktop-Version – Browser-Check Teil2
- Bromite: Datensendeverhalten Android-App – Browser-Check Teil3
- Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4
- Vivaldi: Datensendeverhalten Desktop-Version – Browser-Check Teil5
- Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6
- Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7
- LibreWolf: Datensendeverhalten Desktop-Version – Browser-Check Teil8
- Pale Moon: Datensendeverhalten Desktop-Version – Browser-Check Teil9
- SRWare Iron: Datensendeverhalten Desktop-Version – Browser-Check Teil10
- Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11
- DuckDuckGo Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil12
- Opera: Datensendeverhalten Desktop-Version – Browser-Check Teil13
- FOSS Browser: Datensendeverhalten Android-App – Browser-Check Teil14
- Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15
- Waterfox: Datensendeverhalten Desktop-Version – Browser-Check Teil16
- UC Browser: Datensendeverhalten Android-App – Browser-Check Teil17
- iCab Mobile: Datensendeverhalten iOS-App – Browser-Check Teil18
- Safari: Datensendeverhalten iOS-App – Browser-Check Teil19
- Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20
- Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21
- Mullvad Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil22
2. Datensendeverhalten
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion
Es findet kein Verbindungsaufbau statt.
2.2 Während der aktiven Nutzung
[1] Der Mullvad Browser hat den Tracking- und Werbeblocker uBlock Origin vorinstalliert. Zur Aktualisierung der Filterlisten nimmt das Add-on (regelmäßig) Kontakt zu GitHub und weiteren (Sub-)Domains (ublockorigin.github.io / pgl.yoyo.org) auf [raw.githubusercontent.com]:
GET /gorhill/uBlock/master/assets/assets.json?_=12 HTTP/2 Host: raw.githubusercontent.com User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Sec-Fetch-Dest: empty Sec-Fetch-Mode: cors Sec-Fetch-Site: same-origin Te: trailers
[2] Der Browser prüft unter Windows selbstständig, ob neue Aktualisierungen verfügbar sind [cdn.mullvad.net]:
GET /browser/update_responses/update_1/release/WINNT_x86_64-gcc3-x64/12.0.4/ALL?force=1 HTTP/2 Host: cdn.mullvad.net User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Cache-Control: no-cache Pragma: no-cache Sec-Fetch-Dest: empty Sec-Fetch-Mode: no-cors Sec-Fetch-Site: cross-site Te: trailers
Abgesehen vom Nachladen/Aktualisieren der Filterlisten und der Update-Prüfung baut der Browser keine weiteren Verbindungen auf – außer man ruft eine Webseite auf oder klickt auf das Icon der Mullvad Browser Extension. Das deckt sich mit den Angaben von Mullvad.
[3] Über die Add-on-Menüleiste lässt sich die Mullvad-Browser-Erweiterung aufrufen. Diese initiiert nach einem Klick diverse Verbindungen zu Mullvad, um bspw. zu prüfen, ob der Mullvad-DNS-Server (via DNS over HTTPS) genutzt wird. Eine der Anfragen geht an [ipv4.am.i.mullvad.net]:
GET /json HTTP/2 Host: ipv4.am.i.mullvad.net User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0 Accept: application/json, text/plain, */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Sec-Fetch-Dest: empty Sec-Fetch-Mode: cors Sec-Fetch-Site: same-origin Te: trailers
Die Antwort darauf sieht wie folgt aus:
HTTP/2 200 OK Server: nginx Date: Thu, 11 Apr 2023 09:49:26 GMT Content-Type: application/json Strict-Transport-Security: max-age=15768000; includeSubDomains { "ip": "95.208.240.6", "country": "Germany", "city": "Kaempfelbach", "longitude": 8.6441, "latitude": 48.9261, "mullvad_exit_ip": false, "blacklisted": { "blacklisted": false, "results": [ { "name": "Project Honeypot", "link": "https://www.projecthoneypot.org/about_us.php", "blacklisted": false }, { "name": "Spamhaus", "link": "https://www.spamhaus.org/organization/", "blacklisted": false } ] }, "organization": "Vodafone West GmbH" }
Der DNS-Leak-Test hat das folgende Anfrageformat [am.i.mullvad.net]:
GET /dnsleak/4cc11fb52fbb47eabe961a9bcd7cf68a HTTP/2 Host: am.i.mullvad.net User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0 Accept: application/json, text/plain, */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Sec-Fetch-Dest: empty Sec-Fetch-Mode: cors Sec-Fetch-Site: same-origin Te: trailers
Sensible Informationen werden zu keinem Zeitpunkt übermittelt.
3. Erwähnenswert
3.1 Basis bzw. Unterbau
Der Mullvad Browser hat seinen Ursprung im quelloffenen Firefox-Browser der Mozilla Foundation. Laut Mullvad wurde er in Zusammenarbeit mit dem Tor Project entwickelt, um das Tracking und Fingerprinting zu minimieren. Im Gegensatz zum Firefox wurden jedoch proprietäre Komponenten entfernt und die Übertragung von Diagnosedaten und Absturzmeldungen an Mozilla wurde eingestellt:
Telemetry is unique data being collected by the browser to improve its performance. We don’t believe in collecting data about our users. So, with the Mullvad Browser we have removed all telemetry.
Zum Schutz der Privatsphäre implementiert der Mullvad die bewährte Anti-Fingerprinting-Technik (bspw. UTC-Zeitzone, nur bestimmte Schriftarten verfügbar) des Tor-Browsers. Dadurch wird unter anderem ein einheitliches Browser-Fingerprinting erreicht, wodurch alle Nutzer des Mullvad Browsers als eine Person erscheinen. Das erschwert die Unterscheidung/Identifizierung einzelner Nutzer. Gut zu wissen: Diese Technik funktioniert nicht systemübergreifend:
Mullvad Browser is specifically engineered to have a nearly identical (we’re not perfect!) fingerprint across its users per operating system. This means each Mullvad Browser user looks like many other Mullvad Browser users, making it difficult to track any individual user.
Die Funktionen zusammengefasst:
- Keine Telemetrie oder Tracking
- Gleicher Fingerprint für alle Nutzer des Mullvad-Browsers – sofern gleiches Betriebssystem
- Datenschutzfreundliche Vorsteinstellungen: Keine Cookies, kein Cache, keine Browser-Historie
- Integrierter Tracking- und Werbeblocker uBlock Origin
- Anti-Fingerprinting-Technik des Tor-Browsers
Der Mullvad Browser ist ein Fork (eine Abspaltung) von Firefox. Im Vergleich zum Mutterprojekt haben Forks jedoch den Nachteil, dass sie oft nur von wenigen Entwicklern betreut werden, was zu Verzögerungen bei der Bereitstellung aktueller Versionen führen kann. Dies ist wichtig zu beachten, insbesondere wenn es eine schwerwiegende Sicherheitslücke in Firefox gibt oder geschlossen wurde. Es kann einige Zeit dauern, bis der entsprechende Patch oder das Update in den Mullvad Browser integriert wird.
3.2 Suchmaschine
DuckDuckGo ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suche
« lässt sich die Suchmaschine anpassen.
3.3 Tracking
Der Mullvad Browser trackt/verfolgt den Nutzer in keiner Weise.
3.4 Add-ons/Erweiterungen
Der Mullvad Browser unterstützt die Installation von Firefox-Add-ons über die Webseite. Allerdings solltet ihr euch die Installation weiterer Add-ons (neben uBlock Origin, NoScript) gut überlegen. Der Grund: Fingerprinting. Beim Fingerprinting wird versucht, Benutzer anhand von einzigartigen Informationen, wie Browserkonfiguration, Bildschirmauflösung oder installierten Schriftarten, zu identifizieren. Das Ziel ist es, ein Profil des Benutzers zu erstellen und somit personalisierte Werbung oder sogar gezielte Angriffe durchzuführen. Um dem entgegenzuwirken, hat der Mullvad Browser denselben Fingerprint, der all seine Nutzer als eine Person erscheinen lässt. Die Merkmale, die der Browser zurückgibt, sind also nicht einzigartig, sondern für alle Nutzer gleich – das macht eine Unterscheidung/Identifizierung schwierig. Wenn man zusätzlich das VPN-Angebot von Mullvad nutzt, ist auch die IP-Adresse nicht mehr unterscheidbar. Ähnlich wie beim Tor-Browser verschwimmt man dann in der Masse:
Wer hingegen nicht in einer Anonymitätsgruppe mit anderen Nutzern abtauchen möchte, der kann natürlich weitere Add-ons installieren und Anpassungen an der Konfiguration des Browsers vornehmen. Ansonsten gilt:
Even with strong protection against fingerprinting and cookies, it’s a good idea to block third-party trackers. You don’t want to use ‘too many’ extensions as it could be the one thing that identifies you. That’s why we only use uBlock Origin.
3.5 Private Browsing/Privates Fenster
Keine Auffälligkeiten.
4. Fazit
Aus Datenschutzperspektive hinterlässt der Mullvad Browser einen ausgezeichneten Eindruck. Das Datensendeverhalten ist vorbildlich. Er steht damit in direkter Konkurrenz mit LibreWolf, der ähnlich datenschutzfreundlich ist. Insgesamt gibt es beim Mullvad Browser wenig bis nichts zu bemängeln. Lediglich die möglicherweise verzögerte Bereitstellung von Sicherheitsupdates sollte erwähnt werden, da noch unklar ist, ob diese regelmäßig und zeitnah erfolgen werden.
Wir erinnern uns mal kurz an den Marketingspruch, mit dem der Mullvad Browser beworben wird:
The Mullvad Browser is developed – in collaboration between Mullvad VPN and the Tor Project – to minimize tracking and fingerprinting.
Das scheint gelungen zu sein. Well done!
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Ich freue mich auf Deine Beteiligung zum Artikel
Wenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡Abschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.