Mullvad Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil22

1. Mullvad BrowserMullvad Browser

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird der Mullvad Browser analysiert, der für Windows, macOS und Linux verfügbar ist. Die Ausgangslage für den nachfolgenden Test des Mullvad Browsers ist wie folgt:

  • Betriebssystem: Windows 10 Pro (Version 22H2)
  • Version: 12.0.4 (Offizielles Build – Windows) (64-Bit)
  • Konfiguration: Standardkonfiguration (keine Anpassungen, lediglich Deaktivierung von DNS over HTTPS)

Der Mullvad Browser wird aktuell wie folgt beworben:

The Mullvad Browser is developed – in collaboration between Mullvad VPN and the Tor Project – to minimize tracking and fingerprinting.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Es findet kein Verbindungsaufbau statt.

2.2 Während der aktiven Nutzung

[1] Der Mullvad Browser hat den Tracking- und Werbeblocker uBlock Origin vorinstalliert. Zur Aktualisierung der Filterlisten nimmt das Add-on (regelmäßig) Kontakt zu GitHub und weiteren (Sub-)Domains (ublockorigin.github.io / pgl.yoyo.org) auf [raw.githubusercontent.com]:

GET /gorhill/uBlock/master/assets/assets.json?_=12 HTTP/2
Host: raw.githubusercontent.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers

[2] Der Browser prüft unter Windows selbstständig, ob neue Aktualisierungen verfügbar sind [cdn.mullvad.net]:

GET /browser/update_responses/update_1/release/WINNT_x86_64-gcc3-x64/12.0.4/ALL?force=1 HTTP/2
Host: cdn.mullvad.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
Pragma: no-cache
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: no-cors
Sec-Fetch-Site: cross-site
Te: trailers

Abgesehen vom Nachladen/Aktualisieren der Filterlisten und der Update-Prüfung baut der Browser keine weiteren Verbindungen auf – außer man ruft eine Webseite auf oder klickt auf das Icon der Mullvad Browser Extension. Das deckt sich mit den Angaben von Mullvad.

[3] Über die Add-on-Menüleiste lässt sich die Mullvad-Browser-Erweiterung aufrufen. Diese initiiert nach einem Klick diverse Verbindungen zu Mullvad, um bspw. zu prüfen, ob der Mullvad-DNS-Server (via DNS over HTTPS) genutzt wird. Eine der Anfragen geht an [ipv4.am.i.mullvad.net]:

GET /json HTTP/2
Host: ipv4.am.i.mullvad.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers

Die Antwort darauf sieht wie folgt aus:

HTTP/2 200 OK
Server: nginx
Date: Thu, 11 Apr 2023 09:49:26 GMT
Content-Type: application/json
Strict-Transport-Security: max-age=15768000; includeSubDomains

{
  "ip": "95.208.240.6",
  "country": "Germany",
  "city": "Kaempfelbach",
  "longitude": 8.6441,
  "latitude": 48.9261,
  "mullvad_exit_ip": false,
  "blacklisted": {
    "blacklisted": false,
    "results": [
      {
        "name": "Project Honeypot",
        "link": "https://www.projecthoneypot.org/about_us.php",
        "blacklisted": false
      },
      {
        "name": "Spamhaus",
        "link": "https://www.spamhaus.org/organization/",
        "blacklisted": false
      }
    ]
  },
  "organization": "Vodafone West GmbH"
}

Der DNS-Leak-Test hat das folgende Anfrageformat [am.i.mullvad.net]:

GET /dnsleak/4cc11fb52fbb47eabe961a9bcd7cf68a HTTP/2
Host: am.i.mullvad.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers

Sensible Informationen werden zu keinem Zeitpunkt übermittelt.

3. Er­wäh­nens­wert

3.1 Basis bzw. Unterbau

Der Mullvad Browser hat seinen Ursprung im quelloffenen Firefox-Browser der Mozilla Foundation. Laut Mullvad wurde er in Zusammenarbeit mit dem Tor Project entwickelt, um das Tracking und Fingerprinting zu minimieren. Im Gegensatz zum Firefox wurden jedoch proprietäre Komponenten entfernt und die Übertragung von Diagnosedaten und Absturzmeldungen an Mozilla wurde eingestellt:

Telemetry is unique data being collected by the browser to improve its performance. We don’t believe in collecting data about our users. So, with the Mullvad Browser we have removed all telemetry.

Zum Schutz der Privatsphäre implementiert der Mullvad die bewährte Anti-Fingerprinting-Technik (bspw. UTC-Zeitzone, nur bestimmte Schriftarten verfügbar) des Tor-Browsers. Dadurch wird unter anderem ein einheitliches Browser-Fingerprinting erreicht, wodurch alle Nutzer des Mullvad Browsers als eine Person erscheinen. Das erschwert die Unterscheidung/Identifizierung einzelner Nutzer. Gut zu wissen: Diese Technik funktioniert nicht systemübergreifend:

Mullvad Browser is specifically engineered to have a nearly identical (we’re not perfect!) fingerprint across its users per operating system. This means each Mullvad Browser user looks like many other Mullvad Browser users, making it difficult to track any individual user.

Die Funktionen zusammengefasst:

  • Keine Telemetrie oder Tracking
  • Gleicher Fingerprint für alle Nutzer des Mullvad-Browsers – sofern gleiches Betriebssystem
  • Datenschutzfreundliche Vorsteinstellungen: Keine Cookies, kein Cache, keine Browser-Historie
  • Integrierter Tracking- und Werbeblocker uBlock Origin
  • Anti-Fingerprinting-Technik des Tor-Browsers

Der Mullvad Browser ist ein Fork (eine Abspaltung) von Firefox. Im Vergleich zum Mutterprojekt haben Forks jedoch den Nachteil, dass sie oft nur von wenigen Entwicklern betreut werden, was zu Verzögerungen bei der Bereitstellung aktueller Versionen führen kann. Dies ist wichtig zu beachten, insbesondere wenn es eine schwerwiegende Sicherheitslücke in Firefox gibt oder geschlossen wurde. Es kann einige Zeit dauern, bis der entsprechende Patch oder das Update in den Mullvad Browser integriert wird.

3.2 Suchmaschine

DuckDuckGo ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suche« lässt sich die Suchmaschine anpassen.

3.3 Tracking

Der Mullvad Browser trackt/verfolgt den Nutzer in keiner Weise.

3.4 Add-ons/Erweiterungen

Der Mullvad Browser unterstützt die Installation von Firefox-Add-ons über die Webseite. Allerdings solltet ihr euch die Installation weiterer Add-ons (neben uBlock Origin, NoScript) gut überlegen. Der Grund: Fingerprinting. Beim Fingerprinting wird versucht, Benutzer anhand von einzigartigen Informationen, wie Browserkonfiguration, Bildschirmauflösung oder installierten Schriftarten, zu identifizieren. Das Ziel ist es, ein Profil des Benutzers zu erstellen und somit personalisierte Werbung oder sogar gezielte Angriffe durchzuführen. Um dem entgegenzuwirken, hat der Mullvad Browser denselben Fingerprint, der all seine Nutzer als eine Person erscheinen lässt. Die Merkmale, die der Browser zurückgibt, sind also nicht einzigartig, sondern für alle Nutzer gleich – das macht eine Unterscheidung/Identifizierung schwierig. Wenn man zusätzlich das VPN-Angebot von Mullvad nutzt, ist auch die IP-Adresse nicht mehr unterscheidbar. Ähnlich wie beim Tor-Browser verschwimmt man dann in der Masse:

Mullvad Privacy

Wer hingegen nicht in einer Anonymitätsgruppe mit anderen Nutzern abtauchen möchte, der kann natürlich weitere Add-ons installieren und Anpassungen an der Konfiguration des Browsers vornehmen. Ansonsten gilt:

Even with strong protection against fingerprinting and cookies, it’s a good idea to block third-party trackers. You don’t want to use ‘too many’ extensions as it could be the one thing that identifies you. That’s why we only use uBlock Origin.

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Aus Datenschutzperspektive hinterlässt der Mullvad Browser einen ausgezeichneten Eindruck. Das Datensendeverhalten ist vorbildlich. Er steht damit in direkter Konkurrenz mit LibreWolf, der ähnlich datenschutzfreundlich ist. Insgesamt gibt es beim Mullvad Browser wenig bis nichts zu bemängeln. Lediglich die möglicherweise verzögerte Bereitstellung von Sicherheitsupdates sollte erwähnt werden, da noch unklar ist, ob diese regelmäßig und zeitnah erfolgen werden.

Wir erinnern uns mal kurz an den Marketingspruch, mit dem der Mullvad Browser beworben wird:

The Mullvad Browser is developed – in collaboration between Mullvad VPN and the Tor Project – to minimize tracking and fingerprinting.

Das scheint gelungen zu sein. Well done!

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.