Nutzeridentifikation mittels Chromium-Browser (Chrome, Edge, Brave)?

[English]Luca Casonato hat bereits zum 9. Juli 2024 auf ein Thema im Zusammenhang mit Chromium-Browsern hingewiesen. Im Browser wird allen Google Webseiten über eine versteckte Erweiterung der volle Zugriff auf Systemdaten wie CPU-Nutzung, GPU-Auslastung, Speicherbelegung sowie Prozessorinformationen gewährt. Ermöglicht den Google-Seiten detaillierte Informationen über das System zu liefern, welches einmal ein Finger-Printing ermöglicht. Weiterhin können diese Information Google auch beim Debuggen Vorteile bringen. Das wäre ein Verstoß gegen den Digital Markets Act (DMA). Ich ziehe mal die betreffenden Informationen in einem Blog-Beitrag raus.

Hinweise von Lesern

Das Thema ist mir die Tage bereits von zwei Seiten aus der Leserschaft zugetragen worden. Marcel hatte mir zum 10. Juli per E-Mail bereits die Information zukommen lassen, dass der Google Chrome-Browser seinen Nutzern noch mehr hinterher spioniert und diese überwacht. Es beträfe auch weitere Browser, die auf Chromium als Grundlage setzen, z.B. Brave oder halt auch den Microsoft Edge. Die Funktion sei in den Browsererweiterungen versteckt, wo es der Nutzer wiederum nicht sehen kann.

Auch Leser Norddeutsch hatte es im Diskussionsbereich die Frage „Chrome Edge, Brave – zusätzliche Nutzeridentifikation versteckt?“ aufgeworfen und erwähnte, dass im Browser ein versteckte „Chrome extension“ enthalten sei, über die Google Informationen zum Speicherverbrauch, GPU & detaillierte CPU-Infos abfragen könne.

Quelle ein Tweet von Luca Casonato

Beide Leserhinweise beziehen sich auf nachfolgenden Tweet von Luca Casonato auf der Plattform X, der einigen Staub aufgewirbelt hat. Der Tweet wurde 2,3 Millionen Mal angezeigt.

 Luca Cason on Google Chrome spy features

In den Tweets heißt es, dass Google Chrome allen *.google.com-Websites vollen Zugriff auf die CPU-, die GPU- und Speichernutzung des Systems bzw. der Registerkarte gibt. Der Browser ermöglicht auch den Zugriff auf detaillierte Prozessorinformationen und bietet einen Rückkanal für die Protokollierung. Diese API sei für andere Websites nicht zugänglich – nur für *.google.com schreibt Casonato.

Er sieht einen klaren Verstoß gegen die Idee, dass Browserhersteller ihre Websites nicht gegenüber anderen bevorzugen sollten. Luca Casonato schreibt dazu, dass je nachdem, wie man das DMA interpretiert, diese zusätzliche Offenlegung von Informationen nur für Google-Eigenschaften als Verletzung des DMA angesehen werden kann. Er führt als Beispiel Zoom an. Deren Entwickler seinen im Nachteil, weil sie nicht die gleiche CPU-Debugging-Funktion wie Google Meet anbieten können.

In Erweiterung eingebaut, andere Browser betroffen

Luca Casonato gibt an, dass das Ganze über eine eingebaute Chrome-Erweiterung, die nicht deaktiviert werden kann und nicht in der Erweiterungsleiste angezeigt wird, implementiert wurde. Der Quellcode dieser Chrome-Erweiterung ist im Chromium-Projekt einsehbar. In weiteren Posts schreibt der Entdecker, dass diese Funktion auch in Microsoft Edge exklusiv für *.google.com Domains verfügbar sei. Dann schiebt er nach, dass sich der sich Brave-Browser genauso wie Chrome und Edge verhält.

Die Erweiterung, die es Google erlaubt, diese Informationen ausschließlich von *.google.com abzurufen, sei auch in Brave vorinstalliert. Brendan Eich antwortete auf X und zeigt dieses Bild, wo es heißt, dass die Erweiterung im Brave aktiviert sei, um sicherzustellen, dass Google Meet einwandfrei arbeitet.

Ergänzende Informationen

Bolko wies in einem separaten Kommentar darauf hin, dass es sich um die integrierte Erweiterung „Hangout_services“ mit der Extension ID: nkeimhogjdpnpccoofpliimaahmaaome handele. Diese gebe es schon seit mindestens 2016. Google kann mittels dieser Erweiterung folgende Informationen abfragen:

„permissions“: [
„desktopCapture“,
„enterprise.hardwarePlatform“,
„processes“,
„system.cpu“,
„webrtcAudioPrivate“,
„webrtcDesktopCapturePrivate“,
„webrtcLoggingPrivate“

wobei dies nur für die Seiten https://*.google.com/* zugänglich sei. Dies werde zum Beispiel von Google-Meets (meets[.]google[.]com) genutzt. Bolko ergänzt, dass dieser Code auch im Supermium-Browser:

supermium-124-pre\\chrome\\browser\\resources\\hangout_services\\manifest.json

enthalten sei. Das ungoogled Chromium-Projekt hat den Code ebenfalls übernommen. Für die beiden Browser Supermium und ungoogled-Chromium sei diese Erweiterung aber nicht aktiviert. Denn die oben erwähnte ID erscheint nicht, wenn man folgenden Befehl eintippt:

chrome://serviceworker-internals/

Laut Bolko kann man vor dem Compilieren mit den GN-Flags in der Datei flags.gn einstellen, welche Funktionen im erzeugten Binary aktiviert oder deaktiviert werden sollen:

enable_hangout_services_extension=false

github[.]com/ungoogled-software/ungoogled-chromium/blob/master/flags.gn

Ich habe mal kurz gesucht – die Redaktion von Golem weist in diesem Beitrag auf einen Blog-Beitrag von Simon Willison hin, der schreibt, dass diese Systeminformationen seit Oktober 2013 abfragbar seien. Auf ycombinator schreibt ein Google-Mitarbeiter, der aber nicht für das Chromium-Projekt arbeitet, dass es eine einfache Erklärung gebe. So können Entwickler in Google Meet beim Debuggen die Systemauslastung per Browsers einsehen.

Ergänzung: Es ist die Frage aufgetaucht, dass man per GPO alle Extensions blocken und nur erwünschte Erweiterungen whitelisten kann. In diesem Fall sollte die Extension gesperrt werden – was ich aber nicht getestet habe. Nachtrag: Ich habe eine Nutzermeldung erhalten, dass GPOs nichts nutzen.

Ergänzung 2: Beim Vivaldi-Browser gibt es eine Option zum Abschalten der Erweiterung. Ein Leser hat mich auf folgenden Post auf Mastodon hingewiesen (danke dafür).

Many have tagged us in discussions about a specific Google extension built into Chromium browsers and asked us what we’ve done about it.

This is a part of the Google Meets browser extension, which we bundle in order to allow Google Meets to work. This can be disabled in Settings > Privacy and Security > Google Extensions > Meets. Disabling it will break Meets. We expose this as a setting because we want you to be able to control it, and disable it if you want to.

Disabling it by default would be great, but doing so would break Meets for users who are not able to understand why it’s broken, or what they need to change in order to allow it to work. Unfortunately, when websites break, either because of browser detection, or missing features, users invariably assume the browser is at fault rather than the website, and we have to make choices about what needs to be done to make websites work. We do not take these kinds of decisions lightly.

We do find it very interesting that Google, who run the Chromium browser project, choose to give Meets additional information that is not given to other videoconferencing websites, and this could easily be seen to be uncompetitive behaviour. Hopefully, the EU’s competition enforcement agencies can add this to their radar, and require a change in Google’s Meets functionality.

Vivaldi settings

Dieser Beitrag wurde unter Edge, Google Chrome, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

32 Antworten zu Nutzeridentifikation mittels Chromium-Browser (Chrome, Edge, Brave)?

  1. Bernd Bachmann sagt:

    Danke für die Information und insbesondere auch die Hinweise betreffend Brave, Ungoogled Chromium und Supermium.

    Bekräftigt mich in meiner Meinung, dass es eine gute Idee ist, alles „google“ in der Firewall zu sperren.

  2. Martin sagt:

    Das lässt sich im Brave und im Vivaldi einfach abschalten (war bei mir aber schon in beiden Browsern deaktiviert):
    Brave: Einstellungen –> „Erweiterungen“ –> „Hangouts“ deaktivieren
    Vivaldi: Einstellungen –> „Datenschutz und Sicherheit“ –> im Bereich „Google Erweiterungen“ „Meet“ deaktivieren

    Im Edge habe ich es nicht gefunden. Da funktioniert auch
    chrome://serviceworker-internals/ bzw.
    edge://serviceworker-internals/ nicht

    • Martin sagt:

      Mir ist beim Vivaldi übrigens gerade aufgefallen, dass es in den Einstellungen („vivaldi://settings“) den Punkt „Apps im Hintergrund ausführen, wenn Vivaldi geschlossen ist.“ gar nicht gibt.

      Um das abzuschalten, muss man „chrome://settings“ aufrufen. Dort ist es unter „System“. Seltsamerweise steht nach dem Aufruf von „chrome://settings“ dann „vivaldi://settings“ in der Adresszeile, was allerdings nicht korrekt ist.

  3. Info sagt:

    Schon bezeichnend – wie wenig Kommentare es hier gibt… ;-)

    • Bernd B. sagt:

      Bezeichnend wofür denn?

      • Martin sagt:

        Dafür, dass es den meisten Leute vermutlich egal ist?
        Mich wundert es auch, dass es dazu so wenige Kommentare gibt.

        • Bernd B. sagt:

          Naja, was soll man sich da gross aufregen? Wer Google-Produkte benutzt nimmt Datenabfluss billigend in Kauf (dito bei Cloud ohne vollständige 3rd-party CSE oder MS oder Apple). 🤷‍♂️

          Disclaimer: Ich nutze W10 und Android, habe zwar einigen Aufwand betrieben, den Abfluss einzudämmen, aber das ist wohl eher ein Kampf gegen Windmühlen.

    • nook sagt:

      kein Kommentar, weil Chromium u.ä. nicht genutzt wird.

      Mit dem update auf Firefox128 ist „Websites erlauben, datenschutzfreundliche Werbe-Messungen durchzuführen“ zugefügt und automatisch angehakt.
      Haken raus in den Einstellungen.
      Hintergrund:
      https://support.mozilla.org/de/kb/privacy-preserving-attribution

      Im ESR nichts davon zu sehen :-)

      • Bernd B. sagt:

        Bzgl. FF-Datenabfluss gibt es einen Artikel von Mike Kuketz*.

        Ich bin nicht sicher, ob ich noch zusätzliche Einschränkungen vornahm, da ich meine „hosts“** schon vorher (nach MITM-Mitschnitt des Verkehrs) angelegt hatte.

        * kuketz-blog. de/mozilla-firefox-datensendeverhalten-desktop-version-browser-check-teil20/
        ** pastebin. com/UffgcnwT

      • Tom sagt:

        „Websites erlauben, datenschutzfreundliche Werbe-Messungen durchzuführen“

        Warum nur, warum???

        Oder populistischer: …und da wundert sich MOZILLA, warum auch und gerade bisher FIREFOX-Liebhaber sich von diesem Browser abwenden…

  4. Daniel sagt:

    Gut dass ich Browser mit Google inside privat auf PCs nicht verwende und auf dem Smartphone ist es auch egal Android weiß eh wer man ist und da nutze ich den Browser fast nie.

  5. McAlex777 sagt:

    Gerade Thirdparty Browser abseits von Firefox, Chrome/Chromium, Safari oder Edge sollten m.E. gemieden werden – mit Aussnahme der reinen GNU Browser vielleicht.

    Insbesondere Brave und Co die mit Datenschutz dick Werben, und dann selbst tracken – für mich grenzwertiger Vertrauensbruch. Im Impressum kann man meist schon den Datenschutz erahnen wenn man den Firmensitz sieht.

    Bei Edge/Chrome gibts halt hunderte Richtlinien: sowas wie automatische KI Analyse von Bildern, Favoriten Übertragung, augerufene Webseiten, KI Grammatik von Textfeldern in die Cloud und und und.

    Die Richtlinien unter Chrome/Edge ändern sich fortlaufend – heist wer das unter Chrome/Edge nicht fortlaufend manuell nachpflegt hat schon verloren.

    Extensions nur Adblocker: ‚ublock origin‘ unter Windows/Linux, kostenpflichtiges AdGuard unter Apple.

    Ich denke mit Firefox fährt man in Summe am besten wenn man in den Optionrn den Datenschutz aktiviert. Auch wenn da Tracking am Ende verbleibt.

    • Luzifer sagt:

      Datenschutz läuft extern vom Browser ;-P Adblocker on Hardware, Security Aplliance… das kann der Browser wollen was er möchte… du kommst da ned raus ;-P (gilt auch für den Firefox, der schnüffelt auch, nur nicht ganz so viel)

  6. Edgar Rainer sagt:

    Die aktuelle Version von Opera basiert ebenfalls auf Chromium. Evtl. ist auch dort diese Debuggingfunktion aktiv.
    Kann das jemand verifizieren?

    • McAlex777 sagt:

      Hat oder hatte Opera nicht chinesische Investoren?

      Und wenn jetzt ein nordeuropäischer Finanzinvestor ohne dessen Interessen zu kennen mit im Boot sitzt, machts das am Ende auch nicht wirklich besser.

      Avast hat Virenschutz verkauft, und die super duper toll geschützten Browserläufe seiner Anwender gleich mit.
      Die die am lautesten mit bunten Webseite um Datenschutz werben sind alzu oft jene die am frechesten betrügen.

      Die Frage ist doch am Ende – warum sollte wer dutzende Entwickler kostenlos über Jahre bereitstellen wo jeder 80k+ im Jahr kostet?

  7. janil sagt:

    Man ist ob der Tricks immer wieder sprachlos.
    Danke für die Anweisungen zum deaktivieren.

  8. Anonymous sagt:

    Diese einkompilierten Extensions lassen sich offenbar auch nicht per GPO (ExtensionInstallBlocklist) blockieren – trotz Blocklist werden diese weiter unter chrome://extensions-internals/ und ggf. chrome://serviceworker-internals/ angezeigt.

    Und da haben sich die Leute früher über das Browser-Monopol „Internet Explorer“ aufgeregt…

    • Martin sagt:

      Hangout/Meet lässt sich in den Browsern Brave und Vivaldi einfach in den Einstellungen deaktivieren, was ich schon immer so habe.

      Danke für den Hinweis auf „chrome://extensions-internals/“, denn in „chrome://serviceworker-internals/“ ist es weder beim Brave noch beim Vivaldi und Edge zu finden. Bei Letzterem ist Letztere übrigens komplett leer.

  9. Christian sagt:

    Leider bin ich nicht so ein Fachmann wie Ihr hier überwiegend, eben nur ein interessierter „Endnutzer“.
    Daher mal eine Frage in diese Runde: Gilt dies auch für den von mir genutzten Iron?
    Für eine Antwort oder Hinweis wäre ich daher sehr dankbar.

    • Norddeutsch sagt:

      Gemeint ist wohl Iron Browser vom Unternehmen SRWARE aus DE. Verfügbar für Win, Win portable, Android, Mac und Linux-DEB.
      Veröffentlicht unter BSD-Licence, allerdings seit 2014/15 laut simplecomputer oder wiki wenig Zugriff auf Code. Die Nutzungsbedingungen verraten lediglich: Server von Google für Translate, Safe Browsing-Liste mit Prüfung besuchter URLs, Suchmaschinen Bing,DuckDuck,Wisesearches…

      Bzgl. Deiner Frage: Mein Test in verweigert Win7-VM , habe daher nicht schauen können. Guck doch bei Dir mit Befehlen von oben und berichte.

    • Gast sagt:

      @Christian
      auf meinem Iron *portable* (Version 125.0.6350.0 (Offizieller Build) (64-Bit)) lasst sich chrome://extensions-internals/ nicht öffnen bzw. existiert nicht laut chrome://about/
      Leider hinken die versionstechnisch immer hinterher, das Autoupdate funktioniert nicht, ich schaue immer hier nach Updates (deutscher Support): https://www.srware.net/forum/viewforum.php?f=17

    • Martin sagt:

      Da er als Basis Chromium verwendet, ist das sehr wahrscheinlich.
      Einfach mal „chrome://extensions-internals/“ (ohne Anführungszeichen) in die Adresszeile eingeben und wenn die Seite dann Erweiterungen listet, darin dann nach dem String „nkeimhogjdpnpccoofpliimaahmaaome“ suchen. Meist lässt sich das Suchfeld für eine Suche auf der aktuellen Seite über die Tastenkombination „STRG+F“ öffnen, aber nicht bei allen Browsern. Beim Vivaldi funktioniert das beispielsweise leider nicht.

      Ich würde den Iron aber nicht verwenden:
      https://de.wikipedia.org/wiki/SRWare_Iron#cite_note-23

    • Christian sagt:

      Vielen Dank für Eure sehr hilfreichen Antworten!
      Mamma Mia, da kommt einem ja glatt der Sonntagskuchen wieder hoch und habe jetzt den Iron komplett entsorgt.

  10. Anonymous sagt:

    https://www.heise.de/news/Fuer-Werbung-Firefox-sammelt-ab-sofort-standardmaessig-Nutzerdaten-9801279.html
    Kann man zumindest in der Desktopversion abschalten, in der Androidversion habe ich dazu keine Option gefunden.

  11. Anonymous sagt:

    Es gibt 2 Menschengruppen die die Menschheit wirklich richtig vorwärts bringen Spekulanten (Bänker) und Marketingleute. Nicht auszudenken wo die Menschheit wäre wenn wir deren Leistungen, Produkte und Geschäftmodelle nicht hätten.

    • Bernd B. sagt:

      Das Bankwesen war und ist zentraler Treiber des Fortschritts. Ohne Kredite (und die führen unweigerlich in ein Bankwesen) gäbe es wesentlich weniger Investitionen, insb. in Neues, Unerprobtes.
      Um also ihre Frage zu beantworten: Wir wären noch lange nicht so weit entwickelt, am Ehesten wären wir noch im agrikulturzentrierten Feudalsystem gefangen (Kapitalismus entwickelte sich erst aus/in der industriellen Revolution).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert