Opera Mini für iPhone fehlende Privatsphäre

Opera Mini für iPhone fehlende Privatsphäre

Marc Ruef
by Marc Ruef
time to read: 6 minutes

Das norwegische Unternehmen Opera entwickelt und vertreibt den gleichnamigen freien Webbrowser. Dieser ist ebenfalls als Opera Mini für verschiedene Mobiltelefon-Plattformen verfügbar. Durch Apple wird auf dem iPhone standardmässig Safari als Webbrowser angeboten. Seit dem 13. April 2010 wird jedoch als Alternative ebenfalls Opera Mini im AppStore angeboten. Nur Tage nach dem Erscheinen der App beherrscht diese Platz 1 der jeweiligen Download-Charts. Das Erscheinen von Opera Mini fürs iPhone ist damit zu einem Ereignis in der Tagespresse geworden.

Die Betrachtungen des Produkts in der Presse fokussieren sich in erster Linie auf die Handhabung, Funktionsumfang und Geschwindigkeit. Dabei wird den Sicherheitsfunktionen bzw. der Sicherheitsarchitektur gar keine Beachtung geschenkt.

Opera Mini fürs iPhone

Die Zulassung des alternativen “Webbrowsers” durch Apple hat Opera schlussendlich nur erhalten, weil sie keinen nativen Webbrowser (mit eigener Render-Engine) anbieten. Stattdessen stellen sie mit der App lediglich ein Frontend zur Darstellung der Seiten zur Verfügung. Die Daten werden durch Opera selber geladen und für Opera Mini umgewandelt. Eine solche Lösung wird Proxy-Browser genannt. Dies bedeutet, dass sowohl die Anfragen des Browsers als auch die Rückantworten des Servers stets über die Systeme von Opera laufen. Dies wird deutlich, wenn man die Zugriffe in den Webserver-Logs untersucht:

t06-09.opera-mini.net - [14:45:28] "GET / HTTP/1.1" 200 2193 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:28] "GET /_thm/reset-fonts-grids.css HTTP/1.1" 200 1392 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:28] "GET /_thm/base-min.css HTTP/1.1" 200 396 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:28] "GET /favicon.ico HTTP/1.1" 200 3262 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_labs.jpg HTTP/1.1" 200 1951 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_news.jpg HTTP/1.1" 200 2123 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /_img/spacer.gif HTTP/1.1" 200 42 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_dienstleistungen.jpg HTTP/1.1" 200 1542 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /_thm/style.css HTTP/1.1" 200 1337 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /vuldb/3.gif HTTP/1.1" 200 976 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /firma/icon_vuldb.jpg HTTP/1.1" 200 1950 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /vuldb/2.gif HTTP/1.1" 200 950 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /vuldb/1.gif HTTP/1.1" 200 901 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"
t06-09.opera-mini.net - [14:45:29] "GET /_img/scip-titel.gif HTTP/1.1" 200 5356 "Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15"

Hierbei ist zu sehen, wie der effektive Download durch den Host t06-09.opera-mini.net durchgeführt wird. Die Angabe des User-Agent (Opera/9.80 (iPhone; Opera Mini/5.0.0176/764; U; de) Presto/2.4.15) entspricht damit auch nicht wirklich der Wahrheit, denn schliesslich wurde der Zugriff nicht durch das iPhone umgesetzt, sondern durch das Proxy-System abgewickelt.

Diese Anwendungs-Architektur führt das grundsätzliche Problem mit sich, dass Opera ein umfassendes Data Mining ihrer Benutzer betreiben kann. Einerseits lässt sich damit das Verhalten der Benutzer untersuchen und diese zum Beispiel für Werbezwecke zu missbrauchen. Andererseits könnten aber auch der sensitive Datenaustausch abgefangen und ausgewertet werden.

Wir raten Personen, die Wert auf ihre Privatsphäre legen, davon ab, von Opera Mini Gebrauch zu machen. Auf dem iPhone bleibt in diesem Fall vorerst nichts anderes übrig, als weiterhin mit Safari zu browsen. Denn nur bei diesem wird zur Zeit eine Direktverbindung gewährleistet, die eine Auswertung und das Auslesen des Datenverkehrs durch den Anbieter verhindert.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to test the security of your firewall?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here