Von wegen privat und sicher. Mike Kuketz hat es beim Test aufgegeben, beim UC Browser alle ungewollt initiierten Verbindungen aufzuführen.
Der in Karlsruhe tätige Forensiker / Pentester Mike Kuketz hat sich kürzlich im Rahmen seiner Test-Reihe für Browser, die Android-Version vom UC Browser angesehen. Die Ergebnisse wirken geradezu erschütternd.
Hintergrund zum UC Browser
Den UC Browser gibt es schon seit August 2004. Diese Freeware stammt ursprünglich aus China. Die meisten User stammen aus dem asiatischen Raum. Im Jahr 2014 sollen es weltweit schon an die 500 Millionen User gewesen sein.
2015 wurde im Zuge der Snowden-Leaks bekannt, dass der Browser sensible Informationen der Nutzer wie deren IMSI-, IMEI- und MSISDN-Nummer übertragen soll. Dies sei eine Tatsache, die laut Edward Snowden gerne von den Mitarbeitern verschiedener Geheimdiensten zu ihren eigenen Zwecken eingesetzt wird.
Im Jahr 2019 wurde bekannt, dass eine Schwachstelle der App das Einschleusen von Schadsoftware ermöglicht hat. Vom schwerwiegenden Bug betroffen war auch der UC Browser Mini. Mangels einer schnellen Behebung des Fehlers blieb den Nutzern nur die Möglichkeit, die App ganz schnell wieder von ihrem Android-Smartphone zu löschen.
Hierzulande wird die Software der Alibaba-Tochter plattformübergreifend angeboten. Im Google Play Store sind von der UCCWeb Singapore Pte. Ltd. (ehemals UCWeb Inc. bzw. UC Mobile) gleich mehrere Versionen vorhanden, die unzählige Downloads auf sich vereinen. Die enorme Popularität erkärt auch, warum Mike Kuketz die App kürzlich ausführlich getestet hat.
App überträgt auch ohne Zustimmung alle Daten
Mike Kuketz warnt eindringlich vor der Installation des UC Browsers. Erstmals listete Kuketz nicht mehr im Beitrag alle Verbindungen auf, die die App eingeleitet hat. Dafür seien es „schlichtweg zu viele“. Stattdessen stellt er in seinem Blogbeitrag lieber nur die wichtigsten „Highlights“ der chinesischen Datenkrake vor.
Erschwerend kommt hinzu, dass die App auch dann die Verbindungen aufbaut, wenn man den Nutzungsbedingungen noch gar nicht zugestimmt hat. Beim nach Hause Telefonieren ist die App unglaublich fleißig. So überträgt sie Unmengen Daten an Facebook, an mehrere Stellen bei Google und an den Push-Service von Xiaomi, um nur ein paar Beispiele zu nennen. Genauer lässt sich der Inhalt leider nicht bestimmen. Alle Daten der Nutzer überträgt die App verschlüsselt.
Betreibergesellschaft erfährt die URL jeder Seite, die man besucht
Während der Nutzung übermittelt der UC Browser nicht nur den eingegebenen Domainnamen, sondern auch die vollständige URL an den Betreiber. Der Forensiker kommentiert dies mit den Worten: „In den Einstellungen habe ich übrigens keine Möglichkeit gefunden, dieses Verhalten abzustellen. Damit rangiert der Browser auf Augenhöhe mit Spyware.“
Freeware oder Spyware?
Auch die Nutzung von privaten Fenstern bzw. vom private browsing ändert kaum etwas am Verhalten der Software. Die Übertragung der Daten vollzieht man im Inkognito-Mode lediglich nicht mehr so auffällig, bemerkt der Tester. Statt der kompletten URL plaudert die Software aber noch immer die Domain-Namen der besuchten Webseiten aus. Die Entwickler hätten sich aber zumindest beim private browsing die Mühe gemacht, den Datentransfer besser zu verschleiern.