Brave gilt seit mehreren Jahren als einziger „herkömmlicher“ Browser, der aktiv und umfangreich deine Privatsphäre im Internet schützt. Eine besondere Funktion sind private Fenster mit Tor. Ohne Tor oder den Tor Browser zu starten, kannst du mit ihr im Deep Web surfen. Selbst Onion-URLs lassen sich so direkt aufrufen. Doch ein gravierender Bug verursacht aktuell ein schwerwiegendes DNS Leak. Und das betrifft auch noch insbesondere Onion-URLs, die du öffnest.
DNS Leak verrät dich: auch im privaten Fenster mit Tor …
Der Fehler wurde bereits Mitte Januar 2021 entdeckt. Der Sicherheitsexperte xiaoyinl berichtete darüber auf HackerOne. Gleichzeitig erschien die Bug-Meldung auf der Entwicklerplattform GitHub (klick hier). Ein Großteil der Nutzer war sich des Problems trotzdem nicht bewusst. Dabei sind die Auswirkungen unter Umständen gravierend. Vielleicht fragst du dich deswegen ebenfalls, warum das Brave-Team nicht schon bei deren Bekanntwerden alle Nutzer darauf hingewiesen hat. Stattdessen wurde der Bug lange bestritten. Außerdem wurde bereits zuvor, nämlich im November 2020, ein weiteres DNS Leak-Problem bekannt. Die entsprechende Meldung findest du wiederum hier auf GitHub.
Diese Sicherheitsprobleme verursacht der Bug im Brave Browser …
Beide Bugs wirken sich unmittelbar negativ auf den Schutz deiner persönlichen Daten aus. Genauso wie auf die Verschleierung deiner Identität und deines Internetverlaufs. Die Folgen haben wir nachfolgend für dich zusammengefasst:
- Wegen des Fehlers aus November 2020 führt das Feature Shields bei Aktivierung dazu, dass der Brave Browser Daten zum und über den ISP DNS übermittelt. Der Secure DNS aus den erweiterten Sicherheitseinstellungen wird übrigens unter Umständen ebenfalls bekannt gegeben.
- Der aktuellere Fehler bewirkt hingegen, dass der Browser in „privaten Fenstern mit Tor“ sämtliche Anfragen zu Onion-URLs unverschlüsselt an öffentliche DNS Server sendet. Die Tor-Nodes werden hingegen nicht mehr angesprochen, wenn du im Tor-Mode einen Hidden Service aufrufst. Es handelt sich also um das klassische Sicherheitsproblem „DNS Leak“.
Letztlich hinterlässt du wegen ihnen sowie trotz entsprechender Sicherheitseinstellungen und besonderer Features diverse Spuren auf dem DNS-Server deines Internetanbieters. Dadurch ist zum Einen das Erstellen von Nutzungsprofilen und das sogenannte Footprinting möglich.
Wenn du jedoch im Tor-Mode des Brave Browsers auch Hidden Services besuchst, sind diese Besuche zum Anderen auch in den Log-Daten des ISP verewigt. Kurzum: dein Internetanbieter kann plötzlich sehen oder nachverfolgen, welche Onion-URLs von deiner IP-Adresse aus aufgerufen wurden.
Unsere Meinung: Team von Brave patzt gleich drei Mal!
Auch Programmierer sind nur Menschen und Fehler können passieren… Deswegen ist es unter anderem üblich, dass Softwareunternehmen Prämien für das Aufdecken von sicherheitsrelevanten Bugs zahlen. Eventuell ist der aktuelle Fehler aus dem Januar für dich auch gar nicht so relevant. Zumindest dann nicht, wenn du Hidden Services im Tor-Netzwerk ohnehin nur mit dem TorBrowser besuchst. Doch das Brave-Team hat aus unserer Sicht dieses Mal gleich mehrfach gepatzt!
- Die DNS Leak-Probleme sind nicht nur kritisch, sondern genauso peinlich. Letzteres, weil der Brave Browser gerade durch seinen strengen Fokus auf Privatsphäre und Datenschutz so interessant ist. Mit Ausnahme des Tor-Browsers gibt es bislang keine wirkliche Alternative, die von Haus aus so viel Sicherheit verspricht. Kritisch ist das DNS Leak in privaten Fenstern mit Tor vor allem dann, wenn man als User nicht wie wir in einer weitestgehend demokratisch geregelten Umgebung legt. Es gibt Länder in den es schlichtweg nicht möglich ist, einfach den TorBrowser auf einem Endgerät zu installieren. Zumindest nicht, ohne die eigene Sicherheit und Gesundheit zu riskieren. Für Betroffene ist der Brave Browser daher bislang eine interessante Ausweichmöglichkeit gewesen.
- Gerade aus dem zuvor genannten Grund ist es umso unverständlicher, dass Brave die Nutzer nicht aktiv informiert hat. Der Hauptzweck der eigenen Software war unter Umständen nicht mehr erfüllt. Aber es wurde offenbar in Kauf genommen.
- Immerhin ließen die erforderlichen Updates auf sich warten. Beide Bugs verursachen nun bereits mehr als drei beziehungsweise mehr als einen Monat lang die genannten DNS Leak-Probleme.
Wir ärgern uns darüber aus einem anderen Grund ganz besonders. Vor nicht allzu langer Zeit haben wir dir nämlich erst den Brave Browser in diesem Beitrag empfohlen. Falls du unserer Empfehlung gefolgt bis, sollte du nun zeitnah handeln!
Update auf Version 1.20.108 verhindert DNS Leak im Brave Browser!
Am vergangenen Freitag ist nun (endlich) das Update erschienen, mit dem die Bugs behoben werden. Die Update-Information in den offiziellen Brave Release Notes (klick hier) bescherte den Entwicklern aber vermutlich mehr Aufmerksamkeit als gewünscht. Es dauerte nicht lange bis die üblichen Nachrichtenportal über die Probleme berichteten. Und ebenso schnell verkündeten viele Nutzer ihren Unmut, unter anderem in sozialen Medien wie Twitter:
Privacy browser my ass
— spread your mind for me (@s_y_m_f_m) February 19, 2021
Es ist nicht auszuschließen, dass sich diese Situation in den nächsten Wochen auf die Nutzerzahlen auswirkt. Zumindest dürfte es Brave schwer haben, das bisherige Vertrauen der User aufrechtzuerhalten oder wiederzugewinnen.
Viel wichtiger ist allerdings:
Prüfe unbedingt zeitnah, ob das Update auf deinen betroffenen Geräten bereits installiert ist! Die jeweils aktuell installierte Version findest du in den Einstellungen des Browsers bzw. unter „Über Brave“. Falls die Version 1.20.108 noch nicht installiert ist, starte das Update umgehend, um zukünftig wieder ein DNS Leak ausschließen zu können!
Ansonsten zeigt sich auch hier wieder einmal mehr, dass ein VPN-Zugang eine lohnende Investition sein kann. Denn mithilfe eines VPN-Netzwerks kann du deine Internetverlaufsdaten tatsächlich sehr einfach, vor allem aber sehr zuverlässig vor deinem Internetanbieter verbergen. Empfehlenswerte VPN Anbieter findest du unter anderem in unseren VPN Tests und Erfahrungsberichten (klick)!