Brave (Android): Netguard verzeichnet seltsame Zugriffsversuche

Boris.St · 18. Juni 2024 um 16:44

ISYC verwies in seinem Beitrag oben auf seine Beobachtung, dass BRAVE auf Android offenbar und laut Netguard-Zugriffsversuchs-Protokoll Verbindungen zu verschiedenen Fremdseiten aufbaut, die er als Nutzer nicht angestoßen hat.

Ich fand das merkwürdig, startete Brave, schloss ihn wieder und schaute in der App-Liste von Netguard unter Brave nach, welche Zugriffsversuche dieser gerade vorgenommen hatte. Siehe da, es gabe einige zu kommerziellen Seiten wie Ebay, Facebook, VK.com, auch zu Wikipedia. Ich schilderte das, und es entspann sich a.a.O. eine kurze Diskussion mit Mike, die IMO etwas missverständlich verlief (aber trotzdem hilfreich war, bes. wg. DNS-Servern). Mir blieb allerdings irgendetwas unverständlich. Nun also, wie dort angekündigt, nochmal ein neuer Ansatz, mit Screenshots.

Android-Tablet, BRAVE ganz neu installiert, aktuellste Version: 1.67.116
Erster Aufruf, Netguard weiß noch von nichts, blockiert also gemäß Whitelist-Ansatz jeglichen Zugriff:

BST_NetGuard_BRAVE_001900×1001 232 KB

So weit, so gut, Zugriffe im Wesentlichen auf verschiedene Brave-Quellen, natürlich blockiert (von Firebase/Crashlytics reden wir mal nicht)

Nun Brave direkt in Netguard für WLAN und Mobilverb. freigeschaltet, ohne den Browser zu schließen:

BST_NetGuard_BRAVE_002900×1056 133 KB

So weit weiterhin nichts Besonderes, Brave darf jetzt ins Netz. So soll es ja sein.

Brave geschlossen und neu gestartet, nach wie vor ohne irgendwelche weiteren Aktionen:

BST_NetGuard_BRAVE_003900×1004 219 KB

Jetzt sehe ich eine Reihe von IP4- und IP6-Zugriffsversuchen via https (443) - und genau um diese geht es mir (und ISYC)! Facebook, Ebay, ESPN, YIMG, Instagram, Wikipedia.

Als nächstes habe ich Brave erstmals ziemlich restriktiv konfiguriert, in etwa gemäß Mikes Vorschlägen.
Dabei Brave zweimal neu gestartet, Cache u.ä. jeweils gelöscht:

BST_NetGuard_BRAVE_004900×1126 126 KB

Netguard zeigt nun weitere Zugriffsversuche, zu Ebay-Kleinanzeigen und zu Chefkoch.de.

Wohlgemerkt: Bis hierhin habe ich im Browser keine einzige Seite aufgerufen, keine Bookmarks angelegt oder sonst irgendwelche Aktionen vorgenommen. Es gibt also auch keine Cookies und keinen Verlauf. Der Browser ist weiterhin „jungfräulich“.

Die Netguard-Beobachtungen zu den Zugriffen führte ich gemäß Mikes Anleitung am Beispiel 3.2 zum DB-Navigator durch respektive seiner grundlegenden Anleitung zu Netguard, vgl. dort unter 5.1

Bleibt mir noch zu erwähnen, dass ich zwischenzeitlich dasselbe auf meinem Smartphone durchgeführt habe, mit nahezu identischem Ergebnis.
Heute vormittag übrigens verwendete ich mein Tablet über die Mobilverbindung meines Smartphones, für die jetzigen Tests lief das Ganze über mein häusliches WLAN.

(Im Übrigen gibt es auf meinem gesamten Tablet wie Smartphone keinerlei Verbindungen welcher Art auch immer zu Ebay, Ebay-Kleinanzeigen, Facebook, Instagram, vk.com, chefkoch.de o.ä.)

Ich frage mich, was ich (wie auch ISYC) hier im Brave-Browser beobachte?

kuketzblog · 19. Juni 2024 um 10:41

Ich kann dir bei der NetGuard-Fehleranalyse nicht behilflich sein. Ich habe mich letztes Jahr von NetGuard verabschiedet, weil kaum noch eine Weiterentwicklung stattfindet und in Kombination mit GrapheneOS vermehrt Probleme auftraten.

Du kannst aber mal auf Netzwerkebene (Router, bspw. mit Fritz!Box) prüfen, ob die Verbindungen initiiert werden bzw. die DNS-Anfragen rausgehen.

Ebenso kannst du das Szenario mal mit RethinkDNS nachstellen und prüfen, ob das Verhalten von Brave ähnlich ist.

Boris.St · 19. Juni 2024 um 18:41

Habe vorhin auf meinem zweiten Tablet (zuhause, das o.a. verwende ich am Arbeitsplatz) RethinkDNS installiert. Beobachte ich dort die Netzwerkanfragen und DNS-Anfragen bei Brave (hier 1.67.115), so sehe ich genau dasselbe wie unter Netguard: exakt dieselben fraglichen Domains werden angefragt.

Und zwar unmittelbar mit dem Start des Browsers, ohne irgendeine Interaktion meinerseits.

Auch auf diesem Tablet war Brave bisher „jungfräulich“, ohne Bookmarks, ohne Verlauf, Cookies o.ä., lediglich in etwa gemäß deiner Anleitung eingestellt.

Meine Beobachtungen von Brave sowohl unter Netguard als auch unter RethinkDNS auf drei verschiedenen Geräten via WLAN (Privat und Arbeitsplatz) und Mobilnetz sind daher komplett identisch.

Schneide ich in der Fritzbox den Datenverkehr mit, sehe ich beim Tablet via WLAN genau dieselben (Fremd-) Verbindungen, IP-v4-Zieladressen ausgehend von Brave. Wie auch händisch von mir aufgerufene Zielseiten.

Mein Desktop-Brave - als Gegenprüfung - dagegen zeigt solche fragwürdigen Seitenaufrufe nicht. Es handelt sich also um beobachtbares Verhalten des Android-Brave.

Boris.St · 20. Juni 2024 um 06:00

Es sind vorinstallierte Bookmarks, wie ich gerade herausfand:
In der Brave Community
Auf Github

Es ist im mobilen Brave das Such-Widget, das ich bei Bedarf auf die Launcheroberfläche meines Tablets/Smartphones setzen kann. Dort finden sich genau diese Fremd-Links als Vorgabe-Bookmarks.

Aber ein Bookmark für sich genommen ist noch kein Seitenaufruf, und hier habe ich ganz eindeutig welche.

Weswegen all diese Verbindungen bei jedem Brave-Start nachweislich aufgerufen werden, auch wenn ich das Widget gar nicht nutze, und zwar ohne dass ich als Normal-Nutzer davon weiß und es eventuell mit Bordmitteln verhindern kann, entzieht sich b.a.W. meiner Kenntnis.

Für einen „privatsphäreorientierten“ Browser finde ich dieses Verhalten mindestens obskur, zumal es seit (vergl. die Quellen oben) rund vier Jahren (!) bekannt ist.

kuketzblog · 21. Juni 2024 um 07:26

Habe es auf Android mit der Brave-Version 1.67.116 geprüft.

Es stimmt, wenn der Browser frisch installiert ist und man einen neuen Tab öffnet, werden DNS-Anfragen initiiert und dann von folgenden Domains die Favicons nachgeladen:

static.xx.fbcdn.net
images-eu.ssl-images-amazon.com
m.ebay-kleinanzeigen.de
de.m.wikipedia.org
img.chefkoch-cdn.de
ir.ebaystatic.com
m.vk.com

Beispiel ebay-Kleinanzeigen:

GET /favicons/favicon-192x192.png HTTP/1.1
Host: m.ebay-kleinanzeigen.de
Connection: close
Sec-Fetch-Site: none
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
User-Agent: Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Mobile Safari/537.36
Accept-Encoding: gzip, deflate, br
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7

Das lässt sich abstellen/deaktivieren, indem man die Shortcuts einmal antippt und Entfernen wählt. Das macht man dann bei allen Shortcuts/Icons einmal, danach ist Ruhe.

Möchte man diese initialen Aufrufe nicht, muss der Brave-Browser bei getrenntem Internet einmal gestartet und konfiguriert werden.

Boris.St · 21. Juni 2024 um 10:21

Genau das dachte ich, dass es die Favicons für die Vorgabe-Bookmarks im Suchwidget sind, die geholt werden. Das nutze ich zwar nicht, aber ich werd’s mal aufrufen und die Bookmarks löschen…