Chrome phoning home (Update)

Die Vorgeschichte: Google is evil, Chrome also auch. Wie wir alle wissen, setzt Google einen Cookie bei jedem von uns, der bis zum Jahr 2038 gültig ist (weil ohne Limit den Suchmaschinen in den USA nicht erlaubt ist). Dieser Cookie wird bei jeder Suche abgefragt. Es entsteht also ein zunächst anonymes Suchprofil. Jede Seite, die Adwords, Adsense, Google Maps, Analytics usw. verwendet, fragt ebenfalls nach diesem Cookie. Das sind verdammt viele. Zum Suchprofil gesellt sich also ein passendes, recht vollständiges Surfprofil. Wer sich jetzt noch bei einem Google-Dienst anmeldet, ist je nach Dienst mit E-Mail-Adresse, Namen, Passwort, Wohnort und Bankverbindung sowie Mail-Inhalten und Office-Daten bei Google bekannt. Angeblich ist das alles aber Paranoia. Das Führen von Profilen sei ja viel zu aufwändig, es gehe nur um die Statistik, ums große Ganze, um Anbieten von Werbung usw., die einzelne Person sei egal. Stimmt leider nicht: Google schaut DIR über die Schulter, wie u.a. dieser Fall belegt: Google hilft indischer Polizei bei der Suche nach Orkut-Nutzer. Google ist also nicht nur in der Lage, einzelne Nutzer aus dem Bestand zu fischen, sondern tut es auch. (Ende der Vorgeschichte)

Vor diesem Hintergrund wird Chrome veröffentlicht, ein bahnbrechender Browser mit überzeugendem Konzept, hoher Stabilität (für eine Beta), schickem Design und sehr, sehr schnellem Seitenaufbau. Die Beta überzeugte mich sofort, am liebsten würde ich sie bis auf weiteres nutzen. Aber nicht, ohne mir das ganze mal näher anzusehen. Denn von vornherein ist klar, dass das Teil nach hause telefoniert.

  • Bei jeder Eingabe einer URL bzw. Suchanfrage, werden diese an Google gesendet, selbst wenn die Seite nicht aufgerufen wird. (OK, das macht Firefox 3 auch).
  • Wird eine Seite nicht gefunden, wird die URL an Google geschickt. (Vielleicht wollen die damit ihren Suchindex sauber halten?)
  • Der Browser lädt regelmäßig eine Liste von Phishing- und Malware-Seiten (offenbar vergleicht der Browser diese aber lokal, im Gegensatz zu IE7 und Firefox 3, die jedes mal eine Online-Abfrage bemühen.)
  • Der Benutzer erhält mindestens eine eindeutige ID. Diese wird aber nicht beim normalen Surfen übertragen, sondern nur beim ersten Start und vom Update-Service. (Sehr bedenklich, die ID könnte helfen, Nutzer die verschiedene Browser haben, unter einer ID zusammenführen.)

Bis auf den letzten Punkt sind alle abschaltbar. Und die ID lässt sich sehr leicht fälschen (einfach im Verzeichnis für die lokalen Einstellungen /Google/Chrome/User Data/Local State editieren und den Wert für „client_id“ auf etwas anderes setzen. Am besten auch gleich noch den Timestamp und die Hardware-ID mitändern).

Um das zu überprüfen, habe ich eine ganze Weile Wireshark mitlaufen lassen und mir den entstandenen Traffic angesehen. Lässt man die Optionen an, nimmt Chrome immer wieder Kontakt zu verschiedenen Servern auf und verschickt dabei verschlüsselte Daten in relativ kleinem Umfang. Es ist natürlich ungut, dass man wegen der Verschlüsselung nicht sehen kann, was da verschickt wird, aber seien wir ehrlich: Würden diese Daten unverschlüsselt übers Netz wandern, wäre die Entrüstung viel größer. Nicht nur Google sondern quasi jeder könnte mitlesen. Tatsächlich unterbleibt das alles, wenn man die entsprechenden Optionen abschaltet. Lediglich der Updater versucht ab und zu, nach Updates zu sehen und überträgt dabei brav die gefälschte ID. 

Fazit: Google kommt über Chrome offenbar nicht nennenswert an Daten, die nicht sowieso mit einem anderen Browser gesammelt werden (können). Google hat es meiner Meinung nach schlicht nicht nötig, Chrome als Spyware einzusetzen, es existieren bereits genügend andere Google-Software und Dienste, die den Job gründlicher, unverdächtiger und weitgehend unabhängig vom eingesetzten Browser erledigen und sich sehr oft auch noch der Kontrolle des Anwenders entziehen. Wir machen es Google wahrscheinlich nur marginal leichter, wenn wir Chrome einsetzen.

Ich bin eher der Auffassung, das Chrome eher einen marktpolitischen Hintergrund hat: Google möchte den Browsermarkt aufmischen und eine möglichst breite Installationsbasis für einen Browser haben, auf dem Anwendungen gut laufen. Und zwar die Anwendungen von Google. Jetzt haben wir die Situation, dass der Umstieg auf Linux oder MacOS schwer fällt, weil diese oder jene Anwendung unbedingt Windows benötigt. Wir könnten in die Situation geraten, dass die Anwendungen, die wir unbedingt brauchen, irgendwann mal kein bestimmtes OS, aber Google Chrome benötigen. Und wenn das einmal so weit ist, kann Google nach belieben an den Features und Einstellungen drehen, was die Überwachung betrifft. Andererseits wird es möglich bleiben, einen google-freien, kompatiblen Browser zu entwickeln, so lange Chrome Open Source bleibt.

Des Pudels Kern: Zusammen mit Google läuft der bereits genannte Online-Updater, der nichts weiter tut, als regelmäßig eine ID an Google zu senden und nach Updates zu fragen. Das geschieht ohne den geringsten Hinweis und ohne Abwahlmöglichkeit bei der Installation. Schlimmer noch: Nach einer De-Installation verbleibt er auf dem Rechner, wird mit jedem Windows-Start geladen und telefoniert fleißig weiter nach hause. Will man ihn loswerden, muss man ihn per Taskmanager abschießen, aus einem Verzeichnis löschen, das standardmäßig unsichtbar bist (liegt nicht unter /Programme) und anschließend noch die Registry manuell säubern. Dieses Versteckspiel macht wirklich misstrauisch. Vermutlich versucht Google mit allen Mitteln zu erreichen, dass sich die ID möglichst selten ändert. Auch wenn ich mich selbst davon überzeugt habe, dass der Updater (noch) außer der ID nur relativ harmlose Daten zur verwendeten Windows-Version in Klartext-XML hochlädt, ist diese Frechheit ein guter Grund, auf Chrome (und Google) zu Verzichten. Oder aber die Datenbank mit einer gefälschten ID ein wenig zu nerven. ;-)

Update:

Wär schön, wenn es das gewesen wäre. Aber leider hat Chrome noch einen ganz gewaltigen Pferdefuß, der bisher kaum erwähnt wurde: Wenn man beim Installieren die EULA abnickt/abklickt, stimmt man zu, dass Google zukünftig mit sämtlichen Inhalten, die man über Chrome erstellt/postet/hochlädt usw., machen kann was es will: archivieren, übersetzen, weiterveröffentlichen, editieren… Wer’s nicht glaubt, klickt hier. Oder liest die EULA (speziell Punkt 11) direkt bei Google nach.


6 Antworten zu „Chrome phoning home (Update)“