Berichte: Microsoft Edge importiert Chrome-Tabs ohne Erlaubnis
(theregister.com)- Es gibt vermehrt Berichte, dass Microsoft Edge für Windows geöffnete Tabs und Browserdaten von Chrome importiert, ohne Zustimmung der Nutzer oder selbst dann, wenn die entsprechende Einstellung deaktiviert ist
- Edge verfügt über eine Funktion, die beim Start nicht nur Lesezeichen und gespeicherte Passwörter, sondern nahezu alle Browserdaten aus Chrome importieren kann; sie existiert mindestens seit Mitte 2022
- Tom Warren von The Verge berichtet, dass Edge nach einem Neustart mit denselben Tabs geöffnet wurde wie Chrome zuvor und dass er dem Import nie zugestimmt hatte und die Einstellung deaktiviert war
- Die jüngsten Fälle scheinen seit dem am 23. Januar 2024 veröffentlichten Windows-11-Update KB5034204 zugenommen zu haben; der Installationsbildschirm enthält den Hinweis, dass Edge regelmäßig Daten aus anderen Browsern importiert
- Microsoft lehnte einen offiziellen Kommentar ab, doch laut einer mit den internen Vorgängen vertrauten Person könnte der auf einem anderen Gerät gewählte Status von continuous import fälschlich geräteübergreifend synchronisiert worden sein; ein Fix sei für die nächste Edge Stable-Version in Arbeit
Kontroverse um den automatischen Import von Chrome-Daten in Edge
- Windows-Nutzer berichten, dass Edge geöffnete Tabs und andere Daten aus Chrome ohne Erlaubnis importiert
- Das Kernproblem ist, dass dieses Verhalten selbst dann auftritt, wenn die zugehörige Einstellung deaktiviert ist
- Die Importfunktion von Edge geht über eine einmalige Übernahme von Lesezeichen und Passwörtern hinaus und kann bei jedem Start Chrome-Daten importieren
- Wenn man mit einem Microsoft-Konto angemeldet ist, können importierte Daten mit der Cloud synchronisiert werden, was für Nutzer problematisch ist, die Chrome- und Edge-Umgebung getrennt halten wollten
Nutzerberichte schon seit längerem
- Windows-Nutzer erleben seit 2023 unerwartetes Verhalten bei der Importfunktion von Edge
- Einige Medien erklärten, wie sich die Funktion unter
edge://settings/profiles/importBrowsingDatadeaktivieren lässt, doch laut Reaktionen von Lesern und Nutzerberichten läuft der Import auch dann weiter - Mehrere Threads im Microsoft-Supportforum und Beiträge auf Reddit behaupten ebenfalls, dass Edge Chrome-Daten unerwartet importiert und dies auch bei deaktivierter Einstellung geschieht
- Microsoft-Mitarbeiter und unabhängige Berater schlugen vor, die Einstellung
ImportBrowsingDatazu prüfen und den automatischen Import per Group-Policy-Registrierungsschlüssel manuell zu deaktivieren, doch die Rückmeldungen der Nutzer deuten eher darauf hin, dass dies nicht wirkt
Der Fall Tom Warren und die Ausbreitung
- Tom Warren von The Verge erlebte nach einem Neustart, dass Edge mit denselben Tabs geöffnet wurde wie Chrome vor dem Neustart
- Warren erklärte, dass er nie erlaubt habe, Chrome-Daten oder geöffnete Chrome-Tabs in Edge zu importieren, und dass die entsprechende Einstellung zum Zeitpunkt der Prüfung deaktiviert war
- Online-Berichten zufolge tritt dieses Verhalten bei mehreren Nutzern auf, ist aber offenbar nicht bei allen allgemein reproduzierbar
Auffällige Veränderungen seit dem Update KB5034204
- Fälle, in denen Edge mit bereits aus Chrome übernommenen Tabs startet, scheinen seit dem am 23. Januar 2024 veröffentlichten Windows-11-Update KB5034204 auffälliger geworden zu sein
- Während der Installation von KB5034204 erscheint ein Bildschirm mit dem Hinweis, dass Edge „regelmäßig Daten aus anderen auf Windows-Geräten verfügbaren Browsern importiert“
- Der Sicherheitsforscher Zach Edwards schrieb auf X/Twitter, dass Microsoft wegen dieses Installationsbildschirms diesmal möglicherweise einen gewissen Erklärungsansatz habe
- Das Problem des Imports von Chrome-Daten in Edge selbst ist jedoch nicht neu und wurde bereits in Forenbeiträgen und Hilfegesuchen dokumentiert
Microsofts Reaktion und offene Fragen
- Neben dem Edge-Problem soll KB5034204 bei mehreren Windows-11-Nutzern auch Installationsfehler und Boot-Probleme verursacht haben
- Andere Websites berichten zudem über beschädigte Apps, Probleme mit dem Datei-Explorer und mit der Taskleiste
- Microsoft hat auf Fragen zu diesen Problemen keine offizielle Antwort gegeben und auch zum Edge-Problem einen offiziellen Kommentar abgelehnt
- Laut einer mit den internen Vorgängen vertrauten Person könnte der Fall dadurch entstanden sein, dass Nutzer beim ersten Start von Edge auf einem anderen Gerät continuous import gewählt haben und dieser Status dann fälschlich geräteübergreifend synchronisiert wurde
- Diese Person hält das Verhalten nicht für die beabsichtigte Produkterfahrung
- Microsoft soll daran arbeiten, das in der nächsten Edge Stable-Version zu beheben
1 Kommentare
Meinungen auf Hacker News
Ist ein Duplikat, siehe die frühere Diskussion: https://news.ycombinator.com/item?id=39179929
Diskussion von gestern: https://news.ycombinator.com/item?id=39179929
Ich glaube, Firefox schützt einen im Allgemeinen auch nicht davor.
Ich habe meiner Mutter gezeigt, wie sie Whatsapp über
web.whatsapp.comnutzt, damit sie Screenshots oder Links einfacher teilen kann. Ein paar Sekunden nach dem Login kam eine Benachrichtigung aus dem App Store, dass Whatsapp installiert wurde, und tatsächlich war die Desktop-App ohne Zutun des Nutzers installiert.Ich weiß nicht, wie das ausgelöst wurde, vermutete aber, dass es damit zusammenhängen könnte, dass DoH standardmäßig deaktiviert ist.
Allerdings ist es, wie viele Kommentare anmerken, sehr wahrscheinlich, dass meine Erinnerung falsch ist. Nachdem ich in Firefox den Verlauf zu whatsapp.com gelöscht und die App entfernt hatte, konnte ich es nicht reproduzieren. Ich sah drei separate Buttons zum „App installieren“, aber alle öffneten einen zusätzlichen Installations-Bestätigungsdialog des App Stores.
Laut https://developer.mozilla.org/en-US/docs/Web/Progressive_web... unterstützt Firefox ohne Erweiterung keine PWA, also war es das wohl auch nicht.
Selbst wenn eine andere IP zurückgegeben wird, muss sie die TLS-Prüfung bestehen, und die Handlungen, die der Browser ausführen kann, ändern sich dadurch nicht. Wenn das möglich wäre, wäre es eine riesige Schwachstelle. DoH ist eher eine Datenschutz- als eine Sicherheitsfunktion.
Ohne genauere Informationen ist das seltsam und schwer zu verstehen, aber wie andere Antworten sagen, könnte es eine PWA gewesen sein.
Wenn das wirklich passiert wäre, wären die Nachrichten voll davon, und Tech-Tabloids hätten mit solcher FUD begeistert Klicks gemacht.
Viel plausibler ist, dass eindeutig etwas angeklickt wurde, das die Installation genehmigt oder ausgelöst hat, und dass man sich nicht daran erinnert.
Ab welchem Punkt wird so etwas mehr als ein Dark Pattern und illegal?
Man könnte zwar behaupten, der Nutzer habe zugestimmt, Passwörter an Microsoft hochzuladen, aber eine Phishing-Website kann einer Strafverfolgung auch nicht entgehen, nur weil in ihren AGB steht: „Wenn Sie Ihr Passwort auf dieser gefälschten Bankseite eingeben, wird es an ShadyFooCorp hochgeladen.“
Welche Strafe auch immer verhängt wird: Verglichen mit der Zahl der Nutzer, die diese Strategie zu Edge bringt, ist das vermutlich nichts.
Das einzige halbwegs ernsthafte Argument wäre wohl, dass man Komfort und Nutzen für den Nutzer berücksichtigt habe und die gesammelten Passwörter nicht offen missbrauche.
Als jemand, der weiterhin Debian Linux nutzt, verwende ich Windows fast nur noch bei der Arbeit.
Interne Windows-Einstellungen überlasse ich dem Infrastrukturteam; Nutzereinstellungen oder Updates interessieren mich nicht. Den Arbeitslaptop benutze ich nur zum Arbeiten.
Gelegentlich muss ich ein aktuelles Windows selbst installieren und einrichten, etwa auf dem neuen Laptop meiner Schwiegermutter, und dann bin ich jedes Mal genervt von all den Kleinigkeiten, die man neu erledigen muss. Beim letzten Mal steckten schon die Kontoerstellung, Nachrichten und Wetter in der Taskleiste, Microsoft Edge und alles Mögliche dazwischen.
Ich bin stolz darauf, Debian-Nutzer zu sein. Es ist nicht perfekt und kann auch nicht alle neuesten Spiele ausführen, aber es bietet alles, was ich mindestens brauche.
Ich wünschte, mehr Menschen würden Windows verlassen. Gamer müssten vielleicht auf nicht unterstützte Spiele verzichten, aber Unternehmen, auch Spieleentwickler, gehen dorthin, wo das Geld ist.
Je besser und bequemer Computer werden, desto mehr Freiheit verlieren wir, aber die Leute kümmert es nicht.
Nachdem Microsoft die frühen Web-1.0- und Web-2.0-Wellen komplett verpasst hat, wirkt die Reaktion des Unternehmens so, als wolle es weniger vertrauenswürdig werden als Meta, Google, TikTok, Apple und Amazon zusammen.
Einzelne Änderungen mögen wie etwas wirken, das auch andere SaaS-Anbieter tun würden, aber in der Summe erscheint Microsoft als der am wenigsten zurückhaltende unter den großen Anbietern im Cloud-/SaaS-Markt.
Das ist nichts Neues. Vor zwei Monaten wurde dasselbe Verhalten auf HN gemeldet, und ich schrieb, dass ich Edge dank des neuen EU-DMA-Updates entfernt habe, um zu verhindern, dass der Verlauf irgendeines Browsers möglicherweise an Microsoft übertragen wird.
https://news.ycombinator.com/item?id=38430102
Microsoft Edge ist eine besondere Art von scherzhafter Malware. Die Entwicklungsleitung sollte mindestens versetzt werden; für eine so nutzerfeindliche Ausrichtung gibt es keine Entschuldigung.
Kürzlich musste ich einen schwachen Rechner nutzen (Celeron 6305, 4 GB RAM, Windows 11), und Firefox lief darauf nicht richtig. Nach dem Wechsel zu Edge öffneten sich Webseiten deutlich schneller, und RAM sowie CPU wurden viel weniger belastet.
Das Problem war, dass ich in die Einstellungen gehen und mindestens zehn Dinge wie Shopping-Assistent, Copilot, Seitenleiste usw. deaktivieren musste. Durchschnittliche Nutzer wissen nicht, wie man solche „Funktionen“ abschaltet, oder sind unsicher, ob sie das überhaupt tun sollten, und landen am Ende bei einem Browser, der ihnen weiter werbliche Elemente zeigt und viele Daten an Microsoft sendet.
Kurz gesagt: Auf schwachen Computern läuft Edge gut, aber Microsoft hat ihn mit jeder Menge Müll vollgestopft.
Zwei Dinge würden mich interessieren:
In einer Situation, in der das Entfernen von Edge nicht „erlaubt“ ist und auch das vollständige Deaktivieren der Telemetrie nicht „erlaubt“ ist, kommt der Verdacht auf, dass Browser-Verläufe möglicherweise an Microsoft-Server gesendet werden – ob sie nun von Edge importiert wurden oder nicht.
Außerhalb des EWR dürfte es wohl auch nicht allzu schwer sein, das zu tun
An solchen Integrationsarbeiten waren ganz sicher Ingenieure beteiligt. Einige von ihnen lesen vielleicht gerade auch diesen Beitrag hier.
Ich frage mich, welches Narrativ intern aufgebaut wird, um die Implementierung einer solchen Funktion zu rechtfertigen.
Der Wunsch, Nutzer für Profit mit Füßen zu treten, ist nicht allein Werbe-Führungskräften vorbehalten.
Vermutlich verdienen sie einfach genug Geld, um nicht über Ethik nachdenken zu müssen. Jeder hat ein Preisschild, besonders Menschen ohne Vermögen auf den eigenen Namen.
Bei den meisten Hightech-Unternehmen, die Entwicklergehälter mit offensichtlich menschenfeindlichen Technologien wie Werbung, Tracking, invasivem Profiling und der Aggregation personenbezogener Daten bezahlen, ist es ähnlich. Man muss nicht weit nach Beispielen suchen.
Schritt 2: Quartalsziele für die KPIs festlegen.
Schritt 3: User Stories für Funktionen und Änderungen erstellen, mit denen die Ziele erreicht werden sollen.
Schritt 4: Implementieren, ausrollen und den Anstieg der KPIs messen.
Schritt 5: Verkünden, dass die KPI-Linie erfolgreich nach oben gegangen ist.