Opera Mini für iPhone fehlende Privatsphäre

Opera Mini für iPhone fehlende Privatsphäre

Marc Ruef
von Marc Ruef
Lesezeit: 6 Minuten

Das norwegische Unternehmen Opera entwickelt und vertreibt den gleichnamigen freien Webbrowser. Dieser ist ebenfalls als Opera Mini für verschiedene Mobiltelefon-Plattformen verfügbar. Durch Apple wird auf dem iPhone standardmässig Safari als Webbrowser angeboten. Seit dem 13. April 2010 wird jedoch als Alternative ebenfalls Opera Mini im AppStore angeboten. Nur Tage nach dem Erscheinen der App beherrscht diese Platz 1 der jeweiligen Download-Charts. Das Erscheinen von Opera Mini fürs iPhone ist damit zu einem Ereignis in der Tagespresse geworden.

Die Betrachtungen des Produkts in der Presse fokussieren sich in erster Linie auf die Handhabung, Funktionsumfang und Geschwindigkeit. Dabei wird den Sicherheitsfunktionen bzw. der Sicherheitsarchitektur gar keine Beachtung geschenkt.

Opera Mini fürs iPhone

Die Zulassung des alternativen “Webbrowsers” durch Apple hat Opera schlussendlich nur erhalten, weil sie keinen nativen Webbrowser (mit eigener Render-Engine) anbieten. Stattdessen stellen sie mit der App lediglich ein Frontend zur Darstellung der Seiten zur Verfügung. Die Daten werden durch Opera selber geladen und für Opera Mini umgewandelt. Eine solche Lösung wird Proxy-Browser genannt. Dies bedeutet, dass sowohl die Anfragen des Browsers als auch die Rückantworten des Servers stets über die Systeme von Opera laufen. Dies wird deutlich, wenn man die Zugriffe in den Webserver-Logs untersucht:

t06-09.opera-mini.net - [14:45:28] "GET / HTTP/1.1" 200 2193 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:28] "GET /_thm/reset-fonts-grids.css HTTP/1.1" 200 1392 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:28] "GET /_thm/base-min.css HTTP/1.1" 200 396 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:28] "GET /favicon.ico HTTP/1.1" 200 3262 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_labs.jpg HTTP/1.1" 200 1951 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_news.jpg HTTP/1.1" 200 2123 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /_img/spacer.gif HTTP/1.1" 200 42 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_dienstleistungen.jpg HTTP/1.1" 200 1542 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /_thm/style.css HTTP/1.1" 200 1337 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /vuldb/3.gif HTTP/1.1" 200 976 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_vuldb.jpg HTTP/1.1" 200 1950 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /vuldb/2.gif HTTP/1.1" 200 950 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /vuldb/1.gif HTTP/1.1" 200 901 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /_img/scip-titel.gif HTTP/1.1" 200 5356 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"

Hierbei ist zu sehen, wie der effektive Download durch den Host t06-09.opera-mini.net durchgeführt wird. Die Angabe des User-Agent (Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15) entspricht damit auch nicht wirklich der Wahrheit, denn schliesslich wurde der Zugriff nicht durch das iPhone umgesetzt, sondern durch das Proxy-System abgewickelt.

Diese Anwendungs-Architektur führt das grundsätzliche Problem mit sich, dass Opera ein umfassendes Data Mining ihrer Benutzer betreiben kann. Einerseits lässt sich damit das Verhalten der Benutzer untersuchen und diese zum Beispiel für Werbezwecke zu missbrauchen. Andererseits könnten aber auch der sensitive Datenaustausch abgefangen und ausgewertet werden.

Wir raten Personen, die Wert auf ihre Privatsphäre legen, davon ab, von Opera Mini Gebrauch zu machen. Auf dem iPhone bleibt in diesem Fall vorerst nichts anderes übrig, als weiterhin mit Safari zu browsen. Denn nur bei diesem wird zur Zeit eine Direktverbindung gewährleistet, die eine Auswertung und das Auslesen des Datenverkehrs durch den Anbieter verhindert.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv