Der Browser Google Chrome legt Nutzerprofile an. Dabei werden die Daten von Chrome lokal auf dem Computer des jeweiligen Nutzers gespeichert. Welche benutzerspezifischen Daten von Google Chrome gesammelt werden und wozu sie verwendet werden können, wird im Folgenden dargestellt.
Der Inhalt im Überblick
Die Nutzerprofile als Datensammelstelle
Google Chrome speichert die benutzerspezifischen Daten unter:
C:\%UserProfile%\AppData\Local\Google\Chrome\User Data\<Profile>
In dem <Profile>-Ordner liegen jeweils die benutzerspezifischen Daten für das Google Chrome Nutzerprofil. In diesen findet man bspw. Daten über die jeweiligen Lesezeichen (Bookmarks) und Plugins (Extensions) des Nutzers. Zudem werden Webseiten geloggt, die ein User als Favorit (Favicons) markiert hat. Daneben wird auch der allgemeine Browserverlauf des Nutzers in einer Datenbank namens „History“ gespeichert.
Das Besondere ist, dass auch wenn der User den Browserverlauf, die Plugins oder seine Favoriten löscht, die Daten nicht aus den Datenbanken in dem Profile-Ordner gelöscht werden.
So kann man das komplette Nutzerverhalten trotz der vorgenommenen Löschung später wieder rekonstruieren.
Welche Daten werden in den Datenbanken von Chrome gespeichert?
Die „History“-Datenbank beinhaltet die meisten Informationen über einen Nutzer. Sie enthält viele Tabellen mit einzelnen Informationen, wie z.B. „URLs“ und „Visits“-Tabelle. Die Einträge in der „Visits“-Tabelle stellen etwa dar, wann eine bestimmte Webseite besucht worden ist. In der „URLs“-Tabelle sind zusätzliche Informationen über die einzelnen Einträge der „Visits“-Tabelle vorhanden. Mithilfe der Informationen, die in den beiden Tabellen vorhanden sind, lässt sich bestimmen, wann ein User die Webseite besucht hat, wie lange er auf der Webseite war, von woher er die Webseite aufgerufen hat und wie oft er die Webseite besucht hat. Zusätzlich gibt es noch Felder in der Tabelle, die aussagen, ob die Webseite mithilfe der Autocomplete-Funktion aufgerufen wurde oder die komplette Webseite in die URL-Leiste eingegeben wurde.
In der Lesezeichen-Datenbank finden sich nicht nur Informationen darüber, welche Webseite besucht wurde, sondern sie speichert auch die spezifische Unterseite ab, die besucht wurde. Zusätzlich gibt es verschiedene Zeitstempel, die aussagen, wann das Lesezeichen erstellt wurde und wann der spezifische User auf das Lesezeichen zugegriffen hat.
In den Plugins gibt es eine Datei namens Manifest.json, die einem Informationen über die installierten Plugins liefern kann. Da die Datei im json Format geschrieben wurde, lässt sich diese z.B. über das Tool Notepad++ öffnen. In ihr gibt es verschiedene Felder, die die einzelnen Informationen über die Plugins enthalten. Eines der Felder namens „Description“ gibt eine kurze Beschreibung über das installierte Plugin. Das Feld „Name“ gibt den konkreten Namen des Plugins an und das „Versions“-Feld entsprechend die aktuelle Version des Plugins.
Zusammenführung der Informationen aus dem Chrome Browser
Da die verschiedenen Datenbanken viele Informationen beinhalten, kann es oft schwierig sein, diese per Hand auszulesen. Um das Auslesen zu vereinfachen, wurde ein Tool namens Hindsight entwickelt. Das Tool ist auf Chrome spezialisiert und kann jede Datenbank, die mit Chrome zusammenhängt, auslesen. Die Ergebnisse werden dabei in Excel-Tabellen dargestellt und können je nach Belieben, nach bestimmten Suchwörtern gefiltert werden. Demnach kann das Nutzerverhalten eines Nutzers durch dieses Tool vollständig rekonstruiert werden.
IT-Forensiker nutzen diese Möglichkeit, um Angriffe durch Keylogger oder Social Engineering aufzuklären. So kann z.B. nachträglich in Erfahrung gebracht werden, ob von einem Nutzer ein Link zu einer manipulierten Website angeklickt wurde. Wie sich die hier beschriebene Einzelmaßnahme der Browserauswertung in den Gesamtkontext der forensischen Untersuchung einbettet, erfahren Sie in unserem Beitrag „Daten verraten: Spezielle Konfigurationsdaten auslesen“. Da es sich bei dem Browserverlauf um ein personenbezogenes Datum handelt und je nach der unternehmensinternen Richtlinie für die Internetnutzung auch potentiell private Inhalte betroffen sein können, sollte vor der Auswertung immer der Datenschutzbeauftragte mit einbezogen werden.
Danke für die Info, was mir fehlt ist, was muss denn nun gelöscht werden um „alles“ bereinigt zu haben? Werden auch Passwörter von Webseiten irgendwo gespeichert? Wer oder was nutzt die Daten für was? Google speichert ja selten ohne Grund oder?
Die Passwörter werden in den Cookies gespeichert und lokal von Google Chrome abgelegt. Da die Cookies lokal auf dem Computer liegen, reicht es nicht einfach aus den Browserverlauf zu löschen, sondern man muss manuell den Cookies-Ordner löschen. Dies gilt auch für den Cache-Speicher, der lokal auf dem System liegt.
Hat man sowohl den Browserverlauf, die Cookies und den Cache gelöscht, ist der Großteil der Daten entfernt.
Warum Google Chrome Daten speichert, lässt sich nicht genau beantworten. Hier wäre es hilfreich, einen Blick in die AGBs von Google zu werfen.