Firefox Klar: Kostenloser Content-Blocker von Mozilla. Schützt „Klar“ wirklich die Privatsphäre?

Laut https://support.mozilla.org/de/kb/was-ist-firefox-klar dient die neue iPhone App dem „.. Schutz Ihrer Privatsphäre..„, stellt „einen Browser mit eingebautem Schutz vor Aktivitätenverfolgung zur Verfügung und ermöglicht auch das Blockieren von Inhalten.“ Wie gut schützt die App wirklich die Privatsphäre?

Ich habe „Firefox Klar“ auf meinem iPhone installiert und erstaunliches festgestellt. „Firefox Klar“ analysiert meine Browser-Aktivitäten und schickt diese Daten in Echtzeit dann auch noch an die Marketing-Firma Adjust GmbH (adjust.com). Dabei schreibt Mozilla doch „Wann immer Sie privat, werbefrei und vor Verfolgung (Tracking) geschützt surfen wollen, ist Firefox Klar für Sie da.„. Wie kann es dann sein, dass diese App meine Browser-Aktivitäten protokolliert und dann auch noch an einen Dritten weitergibt?

Wer ist diese Firma adjust? Auf adjust.com stellt sich das Unternehmen als Tracking-Unternehmen vor:

„adjust is the business intelligence platform mobile app marketers love: we combine attribution for advertising sources with advanced in-app analytics and store statistics for unbeatable marketing insights.“

Und ein Kunde schreibt dort: „With adjust, we can track and measure whatever we want in real time. It’s a fully flexible solution that gives us insight beyond just click and install: we can investigate all our downstream events and optimize towards our goals.

Ob und an welche ihrer über 700 Werbe-Partner die Firma Adjust diese Daten weiter gibt, wird nicht verraten. Aber in der Liste ihrer Partner findet man alles was Rang und Namen in der Tracking-Industrie hat: https://www.adjust.com/integrated_partners/.

Da möchte ich mich vor Tracking schützen, vertraue Mozilla, installiere Firefox Klar und dann werden Aktivitäten analysiert und dieser Tracking-Firma überlassen.

Wenn ich mein iPhone im Transparent-Mode an das TrutzBox-Netzwerk anschließe, zeigt mir die TrutzBox im Status-Menü den Aufruf des Adjust-Servers: Aber nicht nur Adjust bekommt meine Daten. Jede mit dem Firefox Klar Browser aufgerufene Web-Seite bekommt über den http-Header „User-Agent“ die Information, dass ich Firefox Klar benutze, mich also schützen möchte. Aber glücklicher Weise kann das die TrutzBox verhindern.

Darf Mozilla denn einfach so mein Nutzerverhalten protokollieren und an die Firma Adjust weitergeben? Ich bin kein Jurist, aber dass Mozilla diese Daten erfasst und ohne meine Vorab-Zustimmung weiter gibt, halte ich zumindest für fragwürdig. Ganz zu schweigen von diesem „Schutz Ihrer Privatsphäre“ Werbeversprechen. Warum fragen sie mich nicht vorab, ob sie die weiter geben dürfen?

Aber eines muss man Mozilla dann doch zu Gute halten. Wenn man lange genug auf den Mozilla Seiten sucht, findet man den allgemeinen Hinweis, dass Mozilla auf Mobil-Geräten wohl immer Nutzungsdaten an die Adjust GmbH übermittelt: https://support.mozilla.org/de/kb/anonyme-nutzungsdaten-zu-firefox-auf-mobilgeraten-

Dort ist auch beschrieben, wie man diese Übermittlung ausschalten kann. Aber selbst wenn man diese ausschaltet, wird über den http-Header natürlich weiterhin die Information, dass ich Firefox Klar benutze, an alle angesteuerten Server übermittelt.

Fazit: falls Sie Firefox Klar nutzen möchten, immer erst mal die standardmäßig eingeschaltete Übermittlung der Tracking-Daten (Menüpunkt „Benutzungsdaten senden“) ausschalten.

Nachtrag vom 14.7.17

Weniger Werbung, mehr Privatsphäre: Firefox Klar jetzt auch für Android

Mozilla hat mittlerweile auch eine Android-Version bereit gestellt. Dabei schreibt Mozilla, dass sie „…auf die Einbindung der Drittanbieter-Lösung Adjust verzichtet haben.“ 

Weiter schreiben sie: „Zu diesem Schritt haben wir uns aufgrund des Feedbacks entschieden, das wir im Nachgang des Launchs von Klar für iOS insbesondere von unseren deutschsprachigen Nutzern erhalten haben und wir freuen uns, hierauf an dieser Stelle einzugehen. Auch aus der iOS-Version von Klar werden wir Adjust entfernen.“

Ich konnte für die iOS Version wirklich feststellen, dass ein Tracking durch Adjust nicht mehr statt findet. Die Android Version habe ich nicht getestet.

Hermann Sauer

5 Antworten auf „Firefox Klar: Kostenloser Content-Blocker von Mozilla. Schützt „Klar“ wirklich die Privatsphäre?“

  1. Hallo,

    ich habe eben die Sendung „Forschung aktuell“ bzw. „Computer & Kommunikation“ mit einem Beitrag bezüglich „Firefox Klar“ nachgehört, da ich durch einen Dritten auf die Sendung und die dortige Behauptung aufmerksam gemacht wurde. Sie wurden dort teilweise als Quelle aufgeführt und so bin ich auf diesen Artikel gestoßen. Gleich vorweg: Ich bin in keiner Weise bei einem der genannten Unternehmen tätig, aber würde mich als Sympathisant der Mozilla Foundation bezeichnen.

    Zu ihrem Artikel: Schon die anfängliche Behauptung „„Firefox Klar“ analysiert meine Internet-Aktivitäten und schickt diese Daten in Echtzeit dann auch noch an die Marketing-Firma Adjust GmbH (adjust.com).“ belegen sie hier nicht ausreichend.
    Sie behaupten lediglich, dass die Adjust-Server aufgerufen werden und zeigen einen Screenshot, der zwei Aufrufe listet. Über die Quantität geschweige deren Inhalt verlieren sie jedoch kein Wort, obwohl das die weitaus wichtigere Information wäre.
    Und jetzt folgt die Feststellung, die ich aus technischer Sicht anprangere: „Jede mit dem Firefox Klar Browser aufgerufene Web-Seite bekommt über den http-Header „User-Agent“ die Information, dass ich Firefox Klar benutze“. Sie vergessen hier offensichtlich, dass dieses Feld seit Anbeginn des HTTP-Standards (gerne in RFC 1945, 2616 und 7540 nachzulesen) vorgesehen ist und dies wohl ALLE Browser und gar primitve Tools bei jeder Anfrage mitsenden. Ja selbst der viel diskutierte Tor-Browser sendet diesen Header. Natürlich kann man wie letzterer hier einen falschen oder gar fiktiven Wert senden, allerdings führt das beim „Otto-Normal“-Nutzer wohl eher zu Problemen. Daher teile ich ihre Einschätzung, dass dies Tracking wäre, diesbezüglich in keiner Weise. Ihre Motivation wird jedoch schon im nächsten Satz klar: „Aber glücklicherweise kann das die TrutzBox verhindern.“ Sie wollen natürlich ein Produkt verkaufen.

    Aber zurück zu dem vermutlich berechtigten Kritikpunkt: Den Tracking-Daten, die an die Adjust GmbH gesendet werden. Ihnen ist hoffentlich bewusst, dass „Firefox Klar“ (im englischen Sprachraum „Firefox Focus“) ein Open Source Projekt ist. Der Quelltext ist z.B. hier in vollem Umfang einsehbar: https://github.com/mozilla-mobile/focus. Auf dieser Projekt-Seite ist ein Dokument, dass detaillierte Informationen über den verwendeten Tracker „Adjust“ bereitstellt: https://github.com/mozilla-mobile/focus/wiki/Install-and-event-tracking-with-the-Adjust-SDK.
    Dort steht ganz klar: Es werden lediglich die Installationen und v.a. deren Quelle erfasst, damit man z.B. den Erfolg von Marketing-Kampagnen messen kann. Desweiteren wird auch erwähnt, dass grundlegende Nutzerdaten gesammelt werden, dazu gehört z.B. ob der Inhalts-Blocker für Safari aktiviert wurde. Darauf folgt eine sehr detaillierte Auflistung der gesendeten Datentypen sogar mit Verweis auf die Dokumentation des „Adjust SDK“ (also dem eingesetzten Tracking-Werkzeug) das übrigens ebenfalls Open Source ist.

    Damit komme ich zum heutigen Beitrag im Deutschlandfunk:

    Dort werden sie folgendermaßen zitiert: „Was man genau feststellen kann, ist eigentlich nur, dass diese Firma, Adjust, Daten bekommt. Was die damit machen, welche Daten es sind genau, die ausgewertet werden, vielleicht sogar weitergegeben werden, das kann man leider nicht so ohne weiteres sehen.“ Ich gebe ihnen Recht, dass man ohne eine Stellungnahme der Adjust GmbH weder sagen kann was sie mit den Daten machen, noch wem sie es weitergeben. Das ist aber auch nicht weiter erheblich wenn man wüsste, welche privaten Daten es sind und eben genau das lässt sich wider ihrer Behauptung nachvollziehen – das habe ich aufgezeigt.

    Abschließend lässt sich folgendes sagen:

    Sie stellen fest, dass Firefox Klar bzw. Firefox Focus wie andere Mozilla Produkte Tracking einsetzen. Zugegeben ist das gerade für Mozilla kein Pluspunkt. Ebenso, dass das Tracking als Opt-out eingerichtet ist. Dass aber alle anderen gängigen Browser-Hersteller ähnliche Verfahren verwenden wird mit keinem Wort erwähnt, sondern die wenig belegte Behauptung aufgestellt, dass private Daten weitergegeben würden. Das ist meiner Meinung nach weder in diesem Artikel – noch im Bericht des Deutschlandfunk hinreichend belegt worden. Stattdessen preisen sie unkritisch ihr Produkt als Lösung an ohne zu benennen welche konkrete Besserungen es bieten würde und welche Konsequenzen das evtl. hätte.

    1. Hallo,

      hier meine Antworten zu Ihrem Kommentar:

      – welchen Beleg vermissen Sie? Ich sehe, dass Firefox Klar in Realtime Verbindung zu Adjust.com aufbaut und dort Daten abliefert. Bezweifeln Sie diese „Behauptung“? Schauen Sie doch bitte unter dem Link https://support.mozilla.org/de/kb/anonyme-nutzungsdaten-zu-firefox-auf-mobilgeraten- (den ich im Artikel schon aufgeführt hatte), mal nach. Dort schreibt Mozilla:

      Welche Daten werden gesammelt und an den adjust-Server übermittelt?
      Für jede neue Installation übermittelt die Anwendung einen anonymen Datensatz zur Zuordnung an den adjust Server. Dieser Datensatz gibt Auskunft darüber, auf welchem Weg die Anwendung heruntergeladen wurde, z. B. ob sie direkt von einem App Store oder über einen speziellen Link in einer Marketingkampagne geladen wurde. Die Daten beinhalten eine Werbe-ID und IP-Adresse, Zeitstempel, Land, Sprachversion, Betriebssystem sowie die Versionsnummer der Anwendung.

      Inwieweit eine „Werbe-ID“ oder eine „IP-Adresse“ anonym ist, wäre eine andere Diskussion.

      – Zum Thema http-Header: Ja, das sind die entsprechenden RFCs.
      Ich kritisiere ja nicht, dass ein http-Header gesendet wird. Das ist so im http-Standard definiert und muss so sein. Es geht um den Inhalt, also den Daten die dort übermittelt werden. Es liegt im Ermessen des http-Requesters (also Firefox Klar) was er dort dem Server „verrät“. Ich erwarte von einem Anonymisierungs-Werkzeug, dass er dem Server nicht verrät, dass ich ein solches Werkzeug nutze. Und wenn es dadurch zu Darstellungsproblemen kommen sollte, dann zeugt das nur von Inkompatibilitäten des Browsers. Und ich hoffe mal nicht, dass Mozilla erwartet, dass man seine Web-Seiten jetzt auch noch speziell für die Darstellung unter Firefox Klar anpassen soll.
      Und dass ich eine Lösung des Tracking-Problems hier benenne (die TrutzBox), das erwarten meine Blog-Leser. Warum sollte ich eine Lösung verschweigen, wenn ich eine kenne?

      Aber zurück zu dem von Ihnen erwähnten „vermutlich berechtigten Kritikpunkt: Den Tracking-Daten, die an die Adjust GmbH gesendet werden“:
      Ob die benutzte Bibliothek Open-Source ist oder nicht, ist doch unerheblich. Wichtig ist doch nur, welche Daten erhoben werden, an wen die gehen und was dann mit denen geschieht. Hier verrät Mozilla nur welche Daten erhoben werden und an wen diese gehen.
      Die eigentliche Frage ist doch, warum sammelt Mozilla diese Daten nicht auf ihren eigenen Servern, so wie Mozilla es schon bei den nicht-Smartphone Firefox-Browsern implementiert hat und wie es die anderen Browser-Hersteller auch tun? Warum liefern sie diese Daten der Tracking-Industrie? Und das auch noch mit einem Anti-Tracking-Tool.

      Ich denke wir sind gar nicht so weit auseinander. Dass dieses Tracking als Opt-Out implementiert wurde ist ein weiterer Kritikpunkt, immerhin könnten sie den Anwender vor der Nutzung darüber informieren oder noch besser um Erlaubnis fragen. Stattdessen werden die ersten Daten schon an Adjust geliefert, bevor ich das Tracking abschalten kann. Das macht ein Opt-Out teilweise nutzlos.

      Hermann Sauer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.