Safari: Datensendeverhalten iOS-App – Browser-Check Teil19

1. SafariSafari

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Safari analysiert, der für iOS und macOS verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Safari ist wie folgt:

  • Betriebssystem: iOS 14.8
  • Version: 14
  • Konfiguration: Standardkonfiguration (keine Anpassungen)

Safari wird aktuell wie folgt beworben:

Unglaublich schnell. Extrem sicher.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Es findet kein Verbindungsaufbau statt.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu Google zum Host »clients1.google.com«:

GET /complete/search?json=t&nolabels=t&client=iphonesafari&q=kuketz-blog.de HTTP/1.1
Host: clients1.google.com
Cookie: CONSENT=PENDING+484
Accept: */*
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 14_8 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.2 Mobile/15E148 Safari/604.1
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

Während der Eingabe einer URL (kuketz-blog.de) in der Adresszeile wird der Name der Domain an die Suchmaschine Google übermittelt. Google erhält über die Adresszeile also Kenntnis über jede Suchanfrage bzw. Webseite, die jemand besucht. Über »Einstellungen -> Safari -> Suchmaschine« sollte eine andere Suchmaschine festgelegt werden. Ebenso ist es sinnvoll die Option »Suchmaschinenvorschläge« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.

[2] Verbindungsaufbau zu Apple zum Host »token.safebrowsing.apple«:

GET /api/v1/google.json HTTP/1.1
Host: token.safebrowsing.apple
User-Agent: SafariSafeBrowsing/16611.4.1.0.3 CFNetwork/1240.0.4 Darwin/20.6.0
Accept: */*
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

Über die URL »token.safebrowsing.apple« ruft Safari ein Token ab, das offenbar im Zusammenhang mit Google Safe Browsing steht.

[3] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$ct=application%2Fx-protobuf&$req=ChcKBlNhZmFyaRINMTY2MTEuNC4xLjAuMxopCAEQBRobCg0IBBADGAEiAzAwMTABEJzgBRoCGAlCVkDcIgQgASACKAEaKQgCEAUaGwoNCAUQAxgBIgMwMDEwARCB6wsaAhgJJTjrjiIEIAEgAigB&key=AIzaSyANT-dOXDTNxZS4flEImFNycnoeDh4ehQI HTTP/1.1
Host: safebrowsing.googleapis.com
Accept: */*
X-Http-Method-Override: POST
User-Agent: SafariSafeBrowsing/16611.4.1.0.3 CFNetwork/1240.0.4 Darwin/20.6.0
Accept-Language: de-de
Accept-Encoding: gzip, deflate
Connection: close

Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Safari in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.

Über »Einstellungen -> Safari -> Betrugswarnung« lässt sich der Google-Dienst deaktivieren. Anschließend wird keine Liste mit schädlichen Domains bei Google nachgeladen – aber auch eine Warnung vor einer potenziellen Betrugsseite bleibt dann aus.

3. Er­wäh­nens­wert

3.1 Basis bzw. Unterbau

Safari ist ein proprietärer Webbrowser von Apple, der ausschließlich für die Apfel-Welt konzipiert und verfügbar ist. Zur Darstellung/Rendering von Webseiten nutzt Safari die Webkit-Engine. Die Werbeversprechen von Apple zu Safari sind vollmundig:

Safari ist die beste Art, das Internet auf all deinen Apple Geräten zu erleben. Du erhältst Optionen zum Anpassen, leistungs­starke Funktionen für Daten­schutz und branchen­führende Batterie­laufzeit, damit du surfen kannst, wie du willst und wann du willst. Und wenn es um Geschwindigkeit geht – er ist der schnellste Browser der Welt.

Von Haus aus bringt Safari keinen Werbeblocker mit. Dieser lässt sich allerdings nachträglich einbinden, wenn man eine App wie AdGuard Pro installiert hat. Über »Einstellungen -> Safari -> Inhalts-Blocker« lässt sich der Werbeblocker dann aktivieren – sofern eine entsprechende App installiert ist, ansonsten wird der Menüpunkt nicht angezeigt. Ab iOS 15 kann man Inhaltsblocker direkt aus dem App Store herunterladen.

Im Gegensatz zum Werbeblocker ist ein Tracking-Schutz bereits in Safari integriert, der unter anderem das seitenübergreifende Tracking verhindern soll. Über die URL-Leiste lässt sich zu jeder Webseite auch ein Datenschutzbericht anzeigen, der die blockierten Tracker auflistet. Beim Aufruf von Spiegel-Online werden bspw. ganze 29 Tracker blockiert.

Hinweis

Mit iOS 15 hat Apple mal wieder einige Verbesserungen bzw. Veränderungen eingeführt – Safari wurde bspw. komplett überarbeitet und bekam ein paar neue Funktionen spendiert. Zwei davon nennen sich: »Datenschutzwahrende Werbungsmessung« und »IP-Adresse verbergen« – beide solltet ihr besser deaktivieren.

3.2 Suchmaschine

Google ist als Standardsuchmaschine voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an Google übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen.

Über »Einstellungen -> Safari -> Suchmaschine« sollte eine andere Suchmaschine festgelegt werden. Leider ist die Auswahl auf einige Suchmaschinen beschränkt:

  • Google
  • Yahoo
  • Bing
  • DuckDuckGo
  • Ecosia

Ebenso ist es sinnvoll die Option »Suchmaschinenvorschläge« zu deaktivieren, damit nicht jede Eingabe der Tastatur an die ausgewählte Suchmaschine übermittelt wird.

3.3 Tracking

Safari trackt/verfolgt den Nutzer in keinster Weise.

3.4 Add-ons/Erweiterungen

Bis einschließlich iOS 14 unterstützt Safari keine Erweiterungen. Mit iOS 15 ändert sich das nun. Dann können direkt über den App Store Erweiterungen wie Inhaltsblocker geladen und installiert werden.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.5 Private Browsing/Privates Fenster

Keine Auffälligkeiten.

4. Fazit

Insgesamt hinterlässt Safari einen relativ datenschutzfreundlichen Eindruck, wobei insbesondere die Standardeinstellungen nicht optimal sind. Zu bemängeln ist Google als Standardsuchmaschine, bei dem jede URL bzw. Suchanfrage an Big-Brother übermittelt wird. Über die Optionen kann man die Suchmaschine zwar immerhin wechseln, ist bei der Auswahl allerdings sehr eingeschränkt. Erfreulich: Auch Google Safebrowsing lässt sich über die Einstellungen deaktivieren. Bei einigen Browsern ist dies entweder gar nicht vorgesehen oder lässt sich nur umständlich über einen Konfigurationseditor erreichen.

Abgesehen von diesen Mängeln telefoniert der Browser nicht nach Hause und bringt einen Schutz gegen Tracker mit, der allerdings um einen Werbeblocker erweitert werden sollte.

Bildquellen:

Safari: Freepik from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

3 Ergänzungen zu “Safari: Datensendeverhalten iOS-App – Browser-Check Teil19”

  1. Comment Avatar Olmer sagt:

    Mit iOS 15 können nun über die Errweiterungen auch bisher nicht unterstützte Suchmaschinen hinzugefügt werden. „Keyword Search“ gibt es kostenlos im App Store und funktioniert ähnlich wie die „Bangs“ von Duckduckgo.

  2. Comment Avatar Hans sagt:

    Safari basiert nicht auf KHTML sondern ist ein relativ „schmaler“ Aufsatz auf WebKit (welches 2003 von KHTML geforkt wurde).
    WebKit ist freie Software und wird nicht nur im Safari Browser eingesetzt, sondern kann z.B. auch auf Linux mit dem epiphany Browser oder luakit etc. benutzt werden.
    Das GUI, das Apple um WebKit programmiert hat ist allerdings proprietär, das ist korrekt.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.