Viele finden Google-Dienste nützlich und benutzerfreundlich, haben jedoch mindestens eine wichtige Funktion. Wir sprechen von einer ständigen Überwachung der Benutzer, von der intensiven Erfassung und dem Versenden von Daten über ihre Aktivitäten.Nicht alle Benutzer können sich vorstellen, welche Art von Daten das Unternehmen in welchem Umfang sammelt. Viele beziehen sich jedoch grundsätzlich auf ihre Vertraulichkeit, und einige sind bereit, eine Verletzung von Datenschutzgeheimnissen wahrzunehmen, selbst wenn sie ein Protokoll mit rein technischen Informationen senden. Manchmal gehen jedoch wirklich fortgeschrittene Nutzer den Weg, um gegen Google zu kämpfen.Am 25. Mai 2018 trat die Allgemeine Datenschutzverordnung der DSGVO in Kraft , ein vom Europäischen Parlament verabschiedetes Gesetz, das die Datenschutzbestimmungen für Benutzer verschärfte und vereinheitlichte. Die EU hat diese Entscheidung getroffen, da immer mehr personenbezogene Daten von IT-Giganten wie Google und Facebook verloren gehen. Tatsächlich hat dieses Gesetz jedoch nicht nur die EU-Bürger, sondern auch den Rest der Welt betroffen.Viele Internetdienste, die in verschiedenen Ländern arbeiten, versuchen jedoch, die strengsten Datenschutzanforderungen zu erfüllen. Damit ist die DSGVO de facto zum Weltstandard geworden.Also dort googeln
Am Dienstag, dem 4. Februar 2020, sprach Arno Granal, der Entwickler des auf Chromium basierenden Kiwi-Browsers, das Problem der Übergabe der sogenannten „eindeutigen Kennung“ an, die Google Chrome während der Installation generiert. Granal schlug vor, dass zumindest Google es selbst verwenden könnte.Er und einige andere Benutzer schlagen vor, dass dies eine Hintertür ist, die sie für ihre eigenen Zwecke nutzen kann. In diesem Fall können wir von einem Verstoß gegen das DSGVO-Gesetz sprechen, da diese eindeutige Kennung als Daten betrachtet werden kann, mit denen Sie die Identität des Benutzers eindeutig feststellen können.Google hat das Problem nicht kommentiert. Und offizielle Dokumente und andere Nachrichten des Unternehmens erlauben es nicht, die Situation vollständig zu klären.Wie es funktioniert
Wenn der Browser eine Webseite vom Server anfordert, sendet er eine HTTP-Anforderung, die eine Reihe von Headern enthält, bei denen es sich um Schlüssel-Wert-Paare handelt, die durch Doppelpunkte getrennt sind. Diese Header bestimmen auch, in welchem Format die Daten gesendet werden sollen. Zum Beispiel,accept: text / html
Zuvor (mindestens seit 2012) hat Chrome einen Header mit dem Namen "X-Client-Daten", auch als "X-Chrome-Variationen" bekannt, gesendet, um die in der Entwicklung befindlichen Funktionen zu testen. Google aktiviert einige dieser Funktionen bei der Installation des Browsers. Informationen dazu werden angezeigt, wenn Sie chrome: // version in die Adressleiste von Chrome eingeben.Variations: 202c099d-377be55a
In Zeile 32 der Chromium-Quelldatei sendet der X-Client-Datenheader Informationen zu Google Field Trials für den aktuellen Chrome-Benutzer."Der Chrome-Variations-Header (X-Client-Daten) enthält keine persönlich identifizierbaren Informationen und beschreibt nur die Installationsoptionen für Chrome selbst, einschließlich aktiver Variationen, sowie serverseitige Experimentdaten, die sich auf die Installation auswirken können." , Sagt der Google Chrome-Funktionsleitfaden .Dies ist jedoch nicht ganz richtig.Für jede Installation generiert Google Chrome zufällig eine Zahl von 0 bis 7999 (bis zu 13 Bit). Diese Zahl entspricht einer Reihe zufällig aktivierter experimenteller Funktionen.Je mehr leere Bits vorhanden sind, desto schwieriger ist es, einen Browser-Fingerabdruck mit einem hohen Grad an Eindeutigkeit zu erstellen und umgekehrt. Wenn Sie diese Daten jedoch mit Nutzungsstatistiken und Absturzberichten kombinieren, die standardmäßig aktiviert sind, können Sie für die meisten Chrome-Nutzer Fingerabdrücke mit relativ hoher Genauigkeit erhalten.Der Fingerabdruck "wird durch Ihre IP-Adresse, Ihr Betriebssystem, Ihre Chrome-Version und andere Parameter sowie Ihre Installationsparameter bestimmt", erklärt Granal.Wenn Sie beispielsweise YouTube besuchen, enthält eine Überschrift eine Zeile des Formulars:X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
Sie können es selbst überprüfen, wenn Sie die Entwicklerkonsole in Google Chrome öffnen, dann auf die Registerkarte "Netzwerk" und dann auf "youtube.com" oder " doubleclick.net" gehen .Laut Granal haben nur youtube.com , google.com , doubleclick.net , googleadservices.com und einige andere Google-Dienste Zugriff auf solche Kennungen . Aber nur, wenn sich der Browser nicht im Inkognito-Modus befindet.Beste Verteidigung
Wenn nur Google Zugriff auf die X-Client-Daten hat, kann dies darauf hinweisen, dass das Unternehmen Benutzerdaten vor allen Personen außer sich selbst schützt.Lukas Oleinik, ein unabhängiger Forscher und Berater zum Schutz personenbezogener Daten, ist der Ansicht, dass diese Funktion für persönliche Zwecke verwendet werden kann, obwohl es durchaus möglich ist, dass sie zur Verfolgung technischer Probleme geschaffen wurde.„Ich glaube, dass die meisten Benutzer keine Ahnung haben, was diese Kennung ist und wann sie verwendet wird. Und vielleicht liegt das Problem darin, dass die Kennung konstant bleibt und nicht zurückgesetzt wird, wenn der Benutzer die Browserdaten löscht. In diesem Sinne kann es als Abdruck betrachtet werden. [Bisher] besteht das Hauptrisiko darin, dass Daten an Websites gesendet werden, die nur von einer Organisation verwaltet werden. "
Granal stellt fest, dass ein solcher Datenübertragungsmechanismus als Sicherheitslücke angesehen werden kann. Der Quellcode von Chromium implementiert nur die Überprüfung einer vordefinierten Liste von Google-Domains, überprüft jedoch keine anderen Domains. Daher kann ein Angreifer eine Domain kaufen, z. B. youtube.vg, und eine Website darauf bereitstellen, um X-Client-Daten-Header zu sammeln.Undokumentierte Funktionen
Im August 2017 entdeckten Experten von Kaspersky Lab eine Hintertür in NetSarang, einer beliebten Software zur Verwaltung von Unternehmensservern. Die ShadowPad-Hintertür wurde gefunden, indem verdächtige DNS-Abfragen im Unternehmensnetzwerk eines der größten Unternehmen analysiert wurden, das Software installiert hat. Über die Hintertür erhielten Angreifer mithilfe von NetSarang Zugriff auf die vertraulichen Daten von Organisationen.Die Entwicklungsfirma gab an, nichts darüber zu wissen, und der Schadcode wurde von unbekannten Angreifern in ihr Produkt eingeführt. Nachdem die Hintertür gefunden wurde, haben NetSarang-Experten die Sicherheitsanfälligkeit verdächtig schnell beseitigt.Blenden Unternehmen solche undokumentierten Gelegenheiten oft aus?