Seltsame DNS-Anfragen beim Starten von Chromium/Google Chrome

Es war einer dieser Abende an dem ich „nur mal kurz“ etwas testen wollte, über ein Ereignis gestolpert bin, anschließend vom Hundertsten ins Tausendste gekommen, um am Ende meine Browserwahl hinterfragen zu müssen.

Ihr kennt das.

Eigentlich wollte ich versuchen den SMB-Traffic zwischen meinem Homeserver und den Linux-Clients zu verschlüsseln, da ich gelesen hatte dass dies ab SMB Version 3 implementiert ist und der Samba Server ab Version 4.1 dies unterstützt. Leider funktioniert das nur mit neueren Windows Clients, da der Linux Client cifs-vfs (im Paket cifs-utils) Verschlüsselung bisher leider noch nicht integriert hat.

Beim Überprüfen ob der Traffic jetzt wirklich verschlüsselt ist oder nicht, ist mir aufgefallen dass mein Computer in unregelmäßigen Abständen seltsame DNS-Anfragen gestellt hat.

So zeigte Wireshark dass z.B. versucht wurde lhoxswzjeosw oder aqxoikiod (bzw. lhoxswzjeosw.fritz.box oder aqxoikiod.fritz.box wenn die Fritzbox als DNS Server gesetzt war) aufzulösen.

Selbstverständlich kam jedes Mal die Antwort zurück dass diese Domain nicht existiert.

Neugierig und etwas verunsichert habe ich mich an die aktuelle Berichterstattung über den „Kill Switch“ der WannaCry Ransomware erinnert, die ebenfalls versucht hat eine Domain zu erreichen welche aussieht als wäre eine Katze über die Tastatur gelaufen.

Also habe ich sämtliche Programme und Hintergrunddienste beendet und anschließend nacheinander wieder gestartet. Es stellte sich heraus dass sowohl Chromium als auch Googles Chrome kurz nach dem Start drei solcher Anfragen stellen.

Nach etwas Googeln stellte sich heraus dass der Browser damit testet ob das System einen anständigen DNS Server verwendet. Mache Provider stellen DNS Server zur Verfügung welche alle Domains auflösen. Wenn die Seite die aufgerufen wird in Wirklichkeit gar nicht existiert, wird einfach eine eigene Seite des Providers angezeigt, die in der Regel auch noch mit Werbung zugepflastert ist.
Ob ein solches System genutzt wird versucht der Browser durch diese Anfragen herauszufinden.
(Quelle: SANS ISC InfoSec Forums)

Diese Information wird dann für die DNS-Prefetching Funktion (also das Vorausladen von DNS Informationen) der Omnibox getauften Adresszeile genutzt.

Das Chromium Projekt schreibt hierzu:

Each time the omnibox makes a proposal (suggests an autocompletion), the domain for the underlying URL is automatically pre-resolved.  This means that when a user is entering a search query, while they type the query (typically when they enter a space between words), Chromium will automatically prefetch the resolution of the domain in their search provider’s URL.
(Quelle: The Chromium Projects)

Der Browser versucht also herauszufinden ob der Benutzer einen Suchbegriff oder eine Domain in die Adresszeile eingibt und versucht dementsprechend sinnvolle Vorschläge zu machen. Wenn der verwendete DNS-Server aber jede Domain auflöst und sich somit hinter fast allen Eingaben eine Domain verstecken könnte, würde diese Funktion von Chromium/Chrome nicht mehr funktionieren.

Das DNS-Prefetching und damit das Vorausladen von Seiten lässt sich in Chromium/Chrome deaktivieren wenn man in den Einstellungen auf Erweiterte Einstellungen anzeigen klickt und unter dem Punkt Datenschutz den Punkt Vorhersagedienst zum schnelleren Laden von Seiten verwenden deaktiviert.

Weitere Informationen zum DNS-Prefetching von Chromium/Chrome erhält man wenn man chrome://dns in die Adresszeile eingibt (auch bei Chromium muss chrome:// eingegeben werden).

Ist das Häkchen bei oben genannter Einstellung gesetzt erhält man eine Übersicht welche DNS Einträge vorgeladen wurden und welche bein nächsten Start vorgeladen werden.

 

Wenn das Häkchen bei Vorhersagedienst zum schnelleren Laden von Seiten entfernt wurde erhält man nur ein

Die seltsamen DNS Anfragen zum Test des verwendeten DNS Servers werden nach dem Starten des Browsers aber weiterhin gestellt.

Das Problem am Vorhersagedienst zum schnelleren Laden von Seiten Dienst ist nicht nur das Anfragen von DNS Informationen zu Seiten die man evtl. gar nicht aufrufen will, sondern auch dass Inhalte von Webseiten vorausgeladen werden können welche man gar nicht aufruft.

Vorhersagedienst zum schnelleren Laden von Seiten verwenden: Browser verwenden die IP-Adresse, um eine Webseite zu laden. Wenn Sie eine Webseite besuchen, kann Chrome die IP-Adressen aller Links auf der Seite suchen und Links laden, auf die Sie vermutlich als Nächstes klicken werden.
(Quelle: Google Chrome-Hilfe)

In einem Umfeld wo das eigene Surfverhalten evtl. protokolliert wird (Arbeitgeber, VDS…) kann dies besonders unerwünscht sein, schließlich zeigt das Protokoll dass Seiten aufgerufen wurden, welche man nie zu Gesicht bekommen hat.

Wer etwas Wert auf Datenschutz und Privatsphäre legt, der sollte diese Funktion sowohl im Google Chrome als auch im freien Chromium unbedingt deaktivieren.

Immerhin, uBlock Origin deaktiviert diese Funktion automatisch.

 



88x31_CC_by
Dieser Text ist lizensiert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.