{"id":297319,"date":"2024-07-12T15:47:23","date_gmt":"2024-07-12T13:47:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=297319"},"modified":"2024-07-21T08:44:08","modified_gmt":"2024-07-21T06:44:08","slug":"nutzeridentifikation-mittels-chromium-browser-chrome-edge-brave","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/12\/nutzeridentifikation-mittels-chromium-browser-chrome-edge-brave\/","title":{"rendered":"Nutzeridentifikation mittels Chromium-Browser (Chrome, Edge, Brave)?"},"content":{"rendered":"

[English<\/a>]Luca Casonato hat bereits zum 9. Juli 2024 auf ein Thema im Zusammenhang mit Chromium-Browsern hingewiesen. Im Browser wird allen Google Webseiten \u00fcber eine versteckte Erweiterung der volle Zugriff auf Systemdaten wie CPU-Nutzung, GPU-Auslastung, Speicherbelegung sowie Prozessorinformationen gew\u00e4hrt. Erm\u00f6glicht den Google-Seiten detaillierte Informationen \u00fcber das System zu liefern, welches einmal ein Finger-Printing erm\u00f6glicht. Weiterhin k\u00f6nnen diese Information Google auch beim Debuggen Vorteile bringen. Das w\u00e4re ein Versto\u00df gegen den Digital Markets Act (DMA). Ich ziehe mal die betreffenden Informationen in einem Blog-Beitrag raus.<\/p>\n

Hinweise von Lesern<\/h2>\n

\"\"Das Thema ist mir die Tage bereits von zwei Seiten aus der Leserschaft zugetragen worden. Marcel hatte mir zum 10. Juli per E-Mail bereits die Information zukommen lassen, dass der Google Chrome-Browser seinen Nutzern noch mehr hinterher spioniert und diese \u00fcberwacht. Es betr\u00e4fe auch weitere Browser, die auf Chromium als Grundlage setzen, z.B. Brave oder halt auch den Microsoft Edge. Die Funktion sei in den Browsererweiterungen versteckt, wo es der Nutzer wiederum nicht sehen kann.<\/p>\n

Auch Leser Norddeutsch hatte es im Diskussionsbereich die Frage \"Chrome Edge, Brave \u2013 zus\u00e4tzliche Nutzeridentifikation versteckt?\" aufgeworfen und erw\u00e4hnte, dass im Browser ein versteckte \"Chrome extension\" enthalten sei, \u00fcber die Google Informationen zum Speicherverbrauch, GPU & detaillierte CPU-Infos abfragen k\u00f6nne.<\/p>\n

Quelle ein Tweet von Luca Casonato<\/h2>\n

Beide Leserhinweise beziehen sich auf nachfolgenden Tweet<\/a> von Luca Casonato auf der Plattform X, der einigen Staub aufgewirbelt hat. Der Tweet wurde 2,3 Millionen Mal angezeigt.<\/p>\n

\"<\/a><\/p>\n

In den Tweets hei\u00dft es, dass Google Chrome allen *.google.com-Websites vollen Zugriff auf die CPU-, die GPU- und Speichernutzung des Systems bzw. der Registerkarte gibt. Der Browser erm\u00f6glicht auch den Zugriff auf detaillierte Prozessorinformationen und bietet einen R\u00fcckkanal f\u00fcr die Protokollierung. Diese API sei f\u00fcr andere Websites nicht zug\u00e4nglich – nur f\u00fcr *.google.com<\/em> schreibt Casonato.<\/p>\n

Er sieht einen klaren Versto\u00df gegen die Idee, dass Browserhersteller ihre Websites nicht gegen\u00fcber anderen bevorzugen sollten. Luca Casonato schreibt dazu, dass je nachdem, wie man das DMA interpretiert, diese zus\u00e4tzliche Offenlegung von Informationen nur f\u00fcr Google-Eigenschaften als Verletzung des DMA angesehen werden kann. Er f\u00fchrt als Beispiel Zoom an. Deren Entwickler seinen im Nachteil, weil sie nicht die gleiche CPU-Debugging-Funktion wie Google Meet anbieten k\u00f6nnen.<\/p>\n

In Erweiterung eingebaut, andere Browser betroffen<\/h2>\n

Luca Casonato gibt an, dass das Ganze \u00fcber eine eingebaute Chrome-Erweiterung, die nicht deaktiviert werden kann und nicht in der Erweiterungsleiste angezeigt wird, implementiert wurde. Der Quellcode dieser Chrome-Erweiterung ist im Chromium-Projekt<\/a> einsehbar. In weiteren Posts schreibt der Entdecker, dass diese Funktion auch in Microsoft Edge exklusiv f\u00fcr *.google.com Domains verf\u00fcgbar sei. Dann schiebt er nach, dass sich der sich Brave-Browser genauso wie Chrome und Edge verh\u00e4lt.<\/p>\n

Die Erweiterung, die es Google erlaubt, diese Informationen ausschlie\u00dflich von *.google.com abzurufen, sei auch in Brave vorinstalliert. Brendan Eich antwortete auf X<\/a> und zeigt dieses Bild<\/a>, wo es hei\u00dft, dass die Erweiterung im Brave aktiviert sei, um sicherzustellen, dass Google Meet einwandfrei arbeitet.<\/p>\n

Erg\u00e4nzende Informationen<\/h2>\n

Bolko wies in einem separaten Kommentar darauf hin, dass es sich um die integrierte Erweiterung \"Hangout_services\" mit der Extension ID: nkeimhogjdpnpccoofpliimaahmaaome<\/em> handele. Diese gebe es schon seit mindestens 2016. Google kann mittels dieser Erweiterung folgende Informationen abfragen:<\/p>\n

\"permissions\": [
\n\"desktopCapture\",
\n\"enterprise.hardwarePlatform\",
\n\"processes\",
\n\"system.cpu\",
\n\"webrtcAudioPrivate\",
\n\"webrtcDesktopCapturePrivate\",
\n\"webrtcLoggingPrivate\"<\/p><\/blockquote>\n

wobei dies nur f\u00fcr die Seiten https:\/\/*.google.com\/* zug\u00e4nglich sei. Dies werde zum Beispiel von Google-Meets (meets[.]google[.]com) genutzt. Bolko erg\u00e4nzt, dass dieser Code auch im Supermium-Browser:<\/p>\n

supermium-124-pre\\\\chrome\\\\browser\\\\resources\\\\hangout_services\\\\manifest.json<\/p>\n

enthalten sei. Das ungoogled Chromium-Projekt hat den Code ebenfalls \u00fcbernommen. F\u00fcr die beiden Browser Supermium und ungoogled-Chromium sei diese Erweiterung aber nicht aktiviert. Denn die oben erw\u00e4hnte ID erscheint nicht, wenn man folgenden Befehl eintippt:<\/p>\n

chrome:\/\/serviceworker-internals\/<\/p>\n

Laut Bolko kann man vor dem Compilieren mit den GN-Flags in der Datei flags.gn <\/em>einstellen, welche Funktionen im erzeugten Binary aktiviert oder deaktiviert werden sollen:<\/p>\n

enable_hangout_services_extension=false<\/p>\n

github[.]com\/ungoogled-software\/ungoogled-chromium\/blob\/master\/flags.gn<\/p>\n

Ich habe mal kurz gesucht – die Redaktion von Golem weist in diesem Beitrag<\/a> auf einen Blog-Beitrag von Simon Willison hin, der schreibt, dass diese Systeminformationen seit Oktober 2013 abfragbar seien. Auf ycombinator schreibt ein Google-Mitarbeiter<\/a>, der aber nicht f\u00fcr das Chromium-Projekt arbeitet, dass es eine einfache Erkl\u00e4rung gebe. So k\u00f6nnen Entwickler in Google Meet beim Debuggen die Systemauslastung per Browsers einsehen.<\/p>\n

Erg\u00e4nzung:<\/strong> Es ist die Frage aufgetaucht, dass man per GPO alle Extensions blocken und nur erw\u00fcnschte Erweiterungen whitelisten kann. In diesem Fall sollte die Extension gesperrt werden – was ich aber nicht getestet habe. Nachtrag: Ich habe eine Nutzermeldung erhalten, dass GPOs nichts nutzen.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Beim Vivaldi-Browser gibt es eine Option zum Abschalten der Erweiterung. Ein Leser hat mich auf folgenden Post<\/a> auf Mastodon hingewiesen (danke daf\u00fcr).<\/p>\n

Many have tagged us in discussions about a specific Google extension built into Chromium browsers and asked us what we've done about it.<\/p>\n

This is a part of the Google Meets browser extension, which we bundle in order to allow Google Meets to work. This can be disabled in Settings > Privacy and Security > Google Extensions > Meets. Disabling it will break Meets. We expose this as a setting because we want you to be able to control it, and disable it if you want to.<\/p>\n

Disabling it by default would be great, but doing so would break Meets for users who are not able to understand why it's broken, or what they need to change in order to allow it to work. Unfortunately, when websites break, either because of browser detection, or missing features, users invariably assume the browser is at fault rather than the website, and we have to make choices about what needs to be done to make websites work. We do not take these kinds of decisions lightly.<\/p>\n

We do find it very interesting that Google, who run the Chromium browser project, choose to give Meets additional information that is not given to other videoconferencing websites, and this could easily be seen to be uncompetitive behaviour. Hopefully, the EU's competition enforcement agencies can add this to their radar, and require a change in Google's Meets functionality.<\/p><\/blockquote>\n

\"Vivaldi<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Luca Casonato hat bereits zum 9. Juli 2024 auf ein Thema im Zusammenhang mit Chromium-Browsern hingewiesen. Im Browser wird allen Google Webseiten \u00fcber eine versteckte Erweiterung der volle Zugriff auf Systemdaten wie CPU-Nutzung, GPU-Auslastung, Speicherbelegung sowie Prozessorinformationen gew\u00e4hrt. Erm\u00f6glicht den … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,1356,426],"tags":[406,4201,4328],"class_list":["post-297319","post","type-post","status-publish","format-standard","hentry","category-edge","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-edge","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=297319"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/297319\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=297319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=297319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=297319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}