UC Browser: Datensendeverhalten Android-App – Browser-Check Teil17

1. UC Browser

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird der UC Browser analysiert, der für Android, iOS und Windows verfügbar ist. Die Ausgangslage für den nachfolgenden Test vom UC Browser ist wie folgt:

Betriebssystem: Android 11
Version: 13.4.0.1306 (Google Play Store)
Konfiguration: Standardkonfiguration (keine Anpassungen)

UC Browser wird aktuell wie folgt beworben:

UC Browser is a fast, smart and secure web browser.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Hinweis

Der UC Browser ist der erste Browser in der Artikelserie »Browser-Check«, bei dem ich nicht alle Verbindungen im Beitrag aufliste, die der Browser beim Start/während der Nutzung initiiert hat. Es werden schlichtweg zu viele Verbindungen initiiert. Nachfolgend werden ein paar »Highlights« vorgestellt. Ich rate dringend davon ab, den Browser zu nutzen.

Noch bevor der Browser genutzt werden kann, muss man als Nutzer zustimmen:

By using UC Browser you agree to our Terms of Use and Privacy Policy

Alle nachfolgenden Verbindungen werden allerdings auch dann schon aufgebaut, wenn der Nutzer diesen Bedingungen noch überhaupt nicht zugestimmt hat.

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Facebook zum Host »graph.facebook.com«:

GET /v6.0/869428466573423?fields=supports_implicit_sdk_logging%2Cgdpv4_nux_content%2Cgdpv4_nux_enabled%2Candroid_dialog_configs%2Candroid_sdk_error_categories%2Capp_events_session_timeout%2Capp_events_feature_bitmask%2Cauto_event_mapping_android%2Cseamless_login%2Csmart_login_bookmark_icon_url%2Csmart_login_menu_icon_url%2Crestrictive_data_filter_params%2Caam_rules%2Csuggested_events_setting&format=json&sdk=android HTTP/1.1
User-Agent: FBAndroidSDK.6.5.1
Accept-Language: de_DE
Content-Type: application/x-www-form-urlencoded
Host: graph.facebook.com
Connection: close
Accept-Encoding: gzip, deflate

Wie bedenklich die Einbindung von Facebook-Bausteinen (SDK) hinsichtlich der Privatsphäre sind, scheint noch immer nicht an die App-Entwickler durchgedrungen zu sein – einfach unverantwortlich.

[2] Verbindungsaufbau zu Google zum Host »app-measurement.com«:

POST /a HTTP/1.1
Content-Length: 3112
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

[...]

Ebenfalls integriert ist der Google-Tracker »Google Firebase Analytics«, der den Google-Cloud-Messaging- (GCM) Nachfolger Firebase Cloud Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren. Leider können wir die übermittelten Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

[3] Verbindungsaufbau zu Xiaomi zum Host »fr.register.xmpush.global.xiaomi.com«:

POST /pass/v2/register HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: fr.register.xmpush.global.xiaomi.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 369

android_id=ed7ec0c65e806e4f&appid=2882303761517200244&apptoken=5281720042244&appversion=50190&board=MSM8953&brand=Xiaomi&devid=g-6B9495B6719B400B1D0D96ADEEF6A14C3B5A6CA7&devid1=a-1B36190D6AAC5F61E3BC908165A6B6B31BC5ECEB&gaid=d57fa49c-45a8-4a60-8b53-2aad7bde9a73&model=Mi+A1&os=10-a1a4bb3e6b&packagename=com.UCMobile.intl&ram=4.0GB&rom=64.0GB&sdkversion=30705&space_id=0

Neben einer Registrierung bei Firebase Cloud Messaging (FCM), registriert sich die App offenbar auch bei einem Push-Service von Xiaomi. Dabei wird unter anderem auch die Google-Advertising-ID ausgelesen und übermittelt.

[4] Verbindungsaufbau zu UC Browser zum Host »gjapplog.ucweb.com«:

POST /collect?enc=aes&zip=gzip&pf=android&pn=com.UCMobile.intl&ve=13.4.0.1306&vc=50190&sdk_ve=5.6.0.6&sdk_vc=634&sf=PVBusinessUnion&app=4e897fce05ff&uuid=17af636f734-2bb39b3f2972595a&vno=1627629909170&chk=045c9cac HTTP/1.1
Host: gjapplog.ucweb.com
Content-Length: 384
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-de; Mi A1 Build/QQ3A.200805.001) AppleWebKit/537.16 (KHTML, like Gecko) Version/4.0 Mobile Safari/537.16
Accept-Encoding: gzip, deflate
Connection: close

[...]

Der Domain/Adresse nach zu urteilen verbirgt sich hinter der Gegenstelle gjapplog.ucweb.com ein Analyse- bzw. Tracking-Dienst. Leider können wir die übermittelten Daten nicht einsehen, da eine zusätzliche Verschlüsselung darüber liegt.

[5,6,7,8,9,….] Verbindungsaufbau zu vielen weiteren Domains:

acs.maribacaberita.com
resolver.msg.global.xiaomi.net
bts-la.ucweb.com
navicms.ucweb.com
px-intl.ucweb.com
us.ynuf.aliapp.org
api.allnews.uodoo.com
event.allnews.uodoo.com
insight.ucweb.com
sdkupgrade.insight.ucweb.com
sec.umeng.com

Es ist schon nahezu rekordverdächtig, wie viele Verbindungen der UC Browser beim Start initiiert – und das obwohl der Nutzer noch nichts angetippt hat bzw. noch nicht einmal in die Datenverarbeitung/Datenschutzerklärung eingewilligt hat.

2.2 Während der aktiven Nutzung

Nach der »Einwilligung« in die Datenschutzerklärung geht es munter weiter mit dem Versenden von Daten bzw. Anfragen stellen. Auf eine detaillierte Auflistung verzichte ich an dieser Stelle, weil es schlichtweg grausam ist. In den Logfiles sehe ich nach dem Antippen des Agree-Buttons bis zu 200 Verbindungen, die der Browser initiiert. Nachfolgend ein paar Highlights.

[1] Verbindungsaufbau zu UC Browser zum Host »logssug.ucweb.com«:

POST /api/v1/client_event?uc_param_str=vesvlanwdnutbipc&ve=13.4.0.1306&sv=inapppatch264&la=en-US&nw=WIFI&dn=34905832902-0e47a387&ut=AASwttSGUUpb8iUvcNgFeQ5%2FeyoUyWDrmk62NgijnScI%2BQ%3D%3D&bi=355&pc=AASDmoj4g5PRM%2FkbA%2BdUs3PVhzbtnuG4a9k3qGIUuMxyZF2SCehMRLJQySHrFgrFkTU%2FK39EekEDYUo%2FLdSSmPLn HTTP/1.1
Host: logssug.ucweb.com
Content-Length: 139
Content-Type: application/json
User-Agent:
Accept-Encoding: gzip, deflate
Connection: close

{
   "stat":[
      {
         "vendor":"browser_local",
         "ac":"clk",
         "region":"_ctgo",
         "row":1,
         "kw":"messenger-matrix.de",
         "title":"",
         "url":"messenger-matrix.de"
      }
   ]
}

Jede besuchte Domain wird an das Unternehmen hinter UC Browser übermittelt.

[2] Verbindungsaufbau zu UC Browser zum Host »logssug.ucweb.com«:

POST /api/v1/client_event?uc_param_str=vesvlanwdnutbipc&ve=13.4.0.1306&sv=inapppatch264&la=en-US&nw=WIFI&dn=34905832902-0e47a387&ut=AASwttSGUUpb8iUvcNgFeQ5%2FeyoUyWDrmk62NgijnScI%2BQ%3D%3D&bi=355&pc=AASDmoj4g5PRM%2FkbA%2BdUs3PVhzbtnuG4a9k3qGIUuMxyZF2SCehMRLJQySHrFgrFkTU%2FK39EekEDYUo%2FLdSSmPLn HTTP/1.1
Host: logssug.ucweb.com
Content-Length: 141
Content-Type: application/json
User-Agent:
Accept-Encoding: gzip, deflate
Connection: close

{
   "stat":[
      {
         "vendor":"browser_local",
         "ac":"clk",
         "region":"_ctgo",
         "row":1,
         "kw":"kuketz-blog.de\/chat",
         "title":"","
         url":"kuketz-blog.de\/chat"
      }
   ]
}

Nicht nur der Domainname, sondern auch die vollständige URL wird an das Unternehmen hinter UC Browser übermittelt. In den Einstellungen habe ich übrigens keine Möglichkeit gefunden, dieses Verhalten abzustellen. Damit rangiert der Browser auf Augenhöhe mit Spyware.

[3] Verbindungsaufbau zu UC Browser zum Host »attr.union.ucweb.com«:

POST /api/attr/active_data/submit?app_id=com.UCMobile.intl&sdk_version=1.4.2&timestamp=1627631805925&sign=0003ea9cfb969a71255b5d7ffa786749b2dc5d40ac9b HTTP/1.1
Content-Type: application/json
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: attr.union.ucweb.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 575

{"package_name":"com.UCMobile.intl","app_version":"13.4.0.1306","androidid":"ed7ec0c65e806e4f","umid_token":"AACVEb43IUPg4HeM2k12Yikl","utdid":"AACVEb43IUPg4HeM2k12Yikl","adid":"d57fa49c-45a8-4a60-8b53-2aad7bde9a73","app_sub_version":"inapppatch264","mac":"04:B1:67:D5:49:1B","os_type":"android","os_version":"11","device_model":"Xiaomi","active_data_mode":"FULL","gp_attr_info":"utm_source=google-play&utm_medium=organic","old_gp_attr_info":"","af_attr_info":"","static_pub":"","static_subpub":"","ext_json":"{\"ch\":\"\",\"pfid\":\"145\",\"btype\":\"GJ\",\"bid\":\"355\"}"}

Während der Nutzung des Browsers wird man fleißig getrackt und vermessen. Weshalb dazu Identifikationsmerkmale wie die Google-Advertising-ID oder sogar die MAC-Adresse des WLAN-Interfaces notwendig sind, weiß vermutlich nur der Anbieter zu beantworten.

[4] Verbindungsaufbau zu UC Browser zum Host »apiuccenter.ucweb.com«:

GET /api/v1/is_participate_user?uc_param_str=dnfrpfbivesvssbtbmntniladsnwktutcpsnddmeeimtmichpc&dn=34905832902-0e47a387&fr=android&pf=145&bi=355&ve=13.4.0.1306&sv=inapppatch264&ss=360x640&bt=GJ&bm=APP&nt=2&ni=bTkwBBIxwwvqqh9HL48ADXswHZ3jeDcHk1ko25j3uwEGVr4%3D&la=en-US&ds=bTkwBFkx649e2hSiDN5oi5BQJdFrCTJwoQSiSiyvOa60SA%3D%3D&nw=WIFI&kt=4&ut=AASwttSGUUpb8iUvcNgFeQ5%2FeyoUyWDrmk62NgijnScI%2BQ%3D%3D&cp=isp%3A%3Bprov%3ABaden-Wurttemberg%3Bcity%3AKarlsruhe%3Bna%3A%E5%BE%B7%E5%9B%BD%3Bcc%3ADE%3Bac%3A&sn=2107-34905832902-63781a77&dd=AACVEb43IUPg4HeM2k12Yikl&me=&ei=&mt=&mi=Mi+A1&ch=&pc=AASDmoj4g5PRM%2FkbA%2BdUs3PVhzbtnuG4a9k3qGIUuMxyZF2SCehMRLJQySHrFgrFkTU%2FK39EekEDYUo%2FLdSSmPLn HTTP/2
Host: apiuccenter.ucweb.com
User-Agent:
Accept-Encoding: gzip, deflate
Connection: close

Jedem Nutzer wird offenbar eine eindeutige ID zugewiesen, mit dem die Aktivitäten über verschiedenen Webseiten verfolgt werden können. Im Datensatz ist dann auch der Standort des Nutzers enthalten (Baden-Wurttemberg / Karlsruhe).

3. Erwähnenswert

3.1 Basis bzw. Unterbau

Der UC Browser wird von UCWeb Inc, einem Tochterunternehmen der Alibaba Group, entwickelt und basiert auf Chromium – eine quelloffene Version des Google-Browsers Chrome. Zur Darstellung/Rendering von Webseiten nutzt der Browser die Blink-Engine. Ein Werbeblocker ist bereits Bestandteil des Browsers.

3.2 Suchmaschine

Google ist als Standardsuchmaschine voreingestellt. Leider ist die Voreinstellung nicht datenschutzfreundlich, wie der Test gezeigt hat. Jede Eingabe über die Tastatur wird unmittelbar an Google übermittelt – eine Komfortfunktion, um Suchvorschläge anzuzeigen. Eine andere Suchmaschine lässt sich über das Optionsmenü nicht einstellen.

3.3 Tracking

Während der Nutzung des UC Browsers wird der Anwender von diversen Tracking-Diensten getrackt. Unter anderem werden dabei eindeutig identifizierbare Informationen wie die Google-Advertising-ID, MAC-Adresse (WiFi) etc. übermittelt.

3.4 Add-ons/Erweiterungen

Obwohl der UC Browser auf Chromium basiert, ist es mir nicht gelungen, weitere Add-ons zu installieren.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.5 Private Browsing/Privates Fenster

Auch im sog. »Incognito-Mode« wird die aufgerufene Domain/URL übermittelt. Allerdings nicht ganz so auffällig, wie im herkömmlichen Surf-Modus.

[1] Verbindungsaufbau zu einem Server in den USA zum Host »168.235.198.1«:

POST /?ucid=szbUVst5XkJRYGJBRQVEV1Fhb0NBDUBIW2VkXkIGREJTNGFE HTTP/1.1
Host: 168.235.198.1
Content-Length: 78
Content-Type: application/octet-stream
Connection: close

[...]

Da die Übermittlung in irgendeiner Form codiert/verschlüsselt stattfindet, habe ich die Rückantwort ausgewertet. Hier finden sich dann Rückschlüsse auf eine Übermittlung der Domain. Beim Aufruf von »telekom.de« wird in der Antwort eine URL zu einer Telekom-Webseite-Ressource übermittelt:

https://www.telekom.de/resources/images/654762/telekom-mobilfunk-wide-smartphones.png

Das bedeutet letztendlich, dass in der Anfrage eine codierte/verschlüsselte Domain/URL übermittelt wird. Auch beim Aufruf weiterer Domains bestätigt sich diese Beobachtung. An die IP-Adresse 168.235.198.1 wird also mindestens die Domain oder eventuell auch die vollständige URL übermittelt.

4. Fazit

Der Browser ist ein Datenschutz-Armageddon. Bereits beim Start werden unverhältnismäßig viele Verbindungen zu Tracking-Diensten und Facebook initiiert. Die Übermittlung jeder aufgerufenen Webseite ist ein empfindlicher Eingriff in die Privatsphäre des Nutzers – zumal sich die Übermittlung auch nicht deaktivieren lässt. Perfide: Selbst im »Incognito-Mode« wird zumindest die Domain übermittelt. Immerhin haben sich die Entwickler die Mühe gemacht, dies gut zu verschleiern.

Wer den Browser auch immer installiert hat, dem kann ich nur raten, diese Spyware so schnell wie möglich loszuwerden. Laut den Angaben im Google Play Store wurde der Browser über 500 Millionen Mal installiert…

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

Unterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Diskussion

Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.

Artikel (400)