Firefox Klar: “Datenschutz-Browser” als Datenschleuder

[English]Der Firefox Klar steht als kostenlose App für iOS zur Verfügung. Firefox Klar wird von der Mozilla Foundation zum Schutz der Privatsphäre als Browser mit eingebautem Schutz vor Aktivitätenverfolgung und zum Blockieren von Inhalten propagiert. Dabei trackt das Teil selbst Daten bis zum Abwinken und überträgt diese an den Big-Data-Spezialisten Adjust.


Anzeige

Ich gestehe, ist an mir vorbei gegangen: Das es den Firefox Klar als App für iPhone oder iPad gibt. Gut, ich hatte es kurz mitbekommen, dases Firefox Klar als Datenschutz-Browser und Inhalteblocker in Form einer App für iPhone und iPad gibt. Das war es aber auch. Bis gestern eine Mail von Blog-Leser Andi B., mit dem Hinweis, mich mit der Sache zu beschäftigen, eintraf (an dieser Stelle danke für den Tipp).

Rückblick: Firefox Klar, der Datenschutz-Browser

Ich habe nochmals nachgeschaut, auf der Supportseite von Mozilla ist unter Was ist Firefox Klar? folgendes zu lesen:

Firefox Klar stellt Ihnen zum Schutz Ihrer Privatsphäre einen Browser mit eingebautem Schutz vor Aktivitätenverfolgung zur Verfügung und ermöglicht auch das Blockieren von Inhalten. Mit Firefox Klar haben Sie die Wahl: Verwenden Sie Firefox Klar als eigenständigen Browser oder nutzen Sie die Funktion zur Blockierung von Inhalten in Safari.

Wann immer Sie privat, werbefrei und vor Verfolgung (Tracking) geschützt surfen wollen, ist Firefox Klar für Sie da. Und so weiter.

Auch dieser Mozialla-Blog-Beitrag singt das hohe Loblied des Firefox Klar – 'dem kostenlosen, schnellen und einfach zu bedienenden Browser für iOS, der Ihre Privatsphäre schützt'. O-Ton aus dem Blog-Beitrag:

Wir leben in einer Zeit, in der viele Nutzer Vertrauen verloren haben und es ihnen an Kontrolle über ihr digitales Leben fehlt. Einige Nutzer haben das Gefühl, dass ihre Web-Aktivitäten sie immer verfolgen – sogar geräte- und benutzerkontoübergreifend. Darüber hinaus fühlt sich das Web oft überladen und unaufgeräumt an. Aus diesen Gründen stellen wir Ihnen Firefox Klar vor.

Wenn Sie mit Ihrem Smartphone keine virtuellen Spuren mehr hinterlassen wollen, empfehlen wir Ihnen Firefox Klar. Egal, ob Sie nach Verlobungsringen, Flügen nach Las Vegas oder teuren Zigarren suchen – manche Informationen und Suchvorgänge sind privat und sollen das auch bleiben. Und manchmal wollen Sie vielleicht auch nur eine ganz einfache und trotzdem superschnelle Browser-Experience – ganz ohne Tabs, Menüs und Pop-ups.

Wer könnte da noch nein sagen, speziell auf einem iOS-Gerät – wer den Firefox Klar nicht verwendet, dem ist nicht mehr zu helfen? Die App gibt es gratis im iTunes Store.


Anzeige

(Quelle: Mozilla)

Die Einstellungenseite aus obigem Screenshot stammt von der Mozilla-Seite und enthält eine Reihe Schalter, um den Datenschutz einzustellen. Alleine, die unterste Option Anonyme Nutzungsdaten senden macht stutzig. Speziell, da wir dieses "Anonyme Nutzungsdaten senden" ja beim #Surfgate, sprich, dem Web of Trust-Skandal hatten (siehe Linkliste am Artikelende).

Firefox Klar trackt, die Daten gehen an Big-Data-Spezialist Adjust

Kommen wir zu dem Punkt, auf den mich Blog-Leser Andreas B. aufmerksam machte. Der Journalist Peter Welchering ist dem Verdacht nachgegangen, dass Firefox Klar Nutzerdaten trackt und hat das Ganze von Hermann Sauer (comidio GmbH), einem Fachmann für Datensicherheit, untersuchen lassen. Ergebnis:

Firefox Klar sammelt Daten über das Surfverhalten des Nutzers, was dieser im Internet so treibt und auf welchen Seiten er sich bewegt. Und diese Daten werden an den Big-Data-Spezialisten Adjust gesendet.

Also genau das, was Web of Trust weiter oben zum Verhängnis wurde. Dort gab man an, dass die Anonymisierung der Daten vor der Weitergabe an Datenbroker irrtümlich fehlerhaft anonymisiert wurde. Bei Firefox Klar hatten die Entwickler das Ansinnen, über die anonymen Nutzerdaten Informationen zu erhalten, um das Produkt zu verbessern. Ergänzung: Welchering argumentiert denn auch folgerichtig, dass eine solche Funktion niemals eingeschaltet mit der App ausgeliefert werden darf, egal wie her die Ziele seien. Ein Anwender könne dann ja entscheiden, ob ob er seine anonymisierten Daten bereitstelle. Gut von den Mozilla-Entwicklern gedacht, aber schlecht gemacht – denn der Hammer kommt erst noch.

Die Mozilla-Foundation wirbt zwar mit ihrem Firefox Klar als Datenschutz-Browser, kommuniziert – laut Welchering  – aber nicht, dass Daten getrackt werden (beachtet aber meine Ergänzung weiter unten). Auf Anfragen von Welchering reagierte die Mozilla Foundation nicht.

Und es kommt noch heftiger. Laut Welchering wollen die Mozilla-Entwickler anonymisierte Daten zum Nutzerverhalten, so sei es von den Entwickler ihm gegenüber kommuniziert worden. Was aber erhoben und weitergeleitet wird, ließ mir die Kinnlade herunter fallen. Zitat:

Um so etwas zu erheben, reichen anonyme Daten. Es werden aber persönliche Daten erhoben und direkt versandt. Und außerdem werden die im Fall von Firefox Klar nicht an Mozilla geschickt, sondern an Adjust. Die Adjust GmbH erhält also persönliche Daten und nicht etwa anonymisierte. Hier konnten mir allerdings auch Mozilla-Entwickler nicht erklären, warum die Daten im Fall von Firefox Klar nicht direkt auf einem Server der Mozilla Foundation landen.

Die Adjust GmbH ist (laut Webseite) im Tracking-Geschäft aktiv und zählt viele Marketing-Unternehmen zu seinen Kunden. Was die Adjust GmbH mit den Daten macht, bleibt laut Welchering unklar – da liegt seiner Aussage nach, eine Black Box vor. Anfragen und Telefonate des Journalisten blieben ergebnislos und auch die Mozilla Foundation konnte keine Erklärung geben.

Ergänzung: Die Ursache: Ein Fremd-Framework zum Tracken

Man muss nur richtig zu suchen wissen. Dann kommt man auf den Grund der Misere. Es gibt in den Mozilla-Supportseiten den Beitrag Send anonymous usage data from Firefox on mobile devices, der einen kurzen Einblick erlaubt.

Firefox for Android, Firefox for iOS, Firefox Focus and Firefox Klar collect data about installations and retention using a third-party tracking framework called adjust. This helps Mozilla determine the origin of the installation by answering the question,

Beim kurzen Lesen wird man vermutlich nicht stutzen. Mit dem jetzigen Wissen ist aber sofort das Puzzleteil ins Bild gefallen. Die setzen im Firefox Klar ein Drittanbieter Tracking-Framework adjust ein. Im weiteren Text schreibt man dann:

This framework consists of a software development kit (SDK) built into Firefox and a data-collecting Internet service backend run by the German company adjust GmbH. The adjust SDK is open source and MIT licensed (see the github repository).

Open Source und MIT-Lizenz sorgt vermutlich bei den meisten Leuten sofort für Entspannung. Aber: Gilt das auch für den data-collecting Internet service backend einer Fremdfirma? Zudem: Alle Firefox-Browser-Apps für Android und iOS sammeln Daten,. Das geht aus folgenden Text hervor.

For a new install, the application sends an anonymous "attribution" request to the adjust servers. This request describes how the application was downloaded, for example, whether it was downloaded directly via the App Store or through a marketing campaign link. The data includes an advertising ID, IP address, timestamp, country, language/locale, operating system and app version.

Firefox for iOS, Firefox Focus, Firefox Klar and Android will also occasionally send anonymous summaries about how often the application has been used. These summaries only include information regarding whether the app has been in active use recently and when.

Additionally, Firefox Focus and Firefox Klar will also report what features of the application are being used. It will send an anonymous report containing the specific filters being selected and count how many times the search, browse and erase button is pressed.

Man kann jetzt viel herum schwurbeln und von Anonymität schreiben – die Quintessenz bleibt: In den Apps ist ein Dritthersteller Tracking-Framwork eingebunden, welches standardmäßig aktiviert ist und Daten an die Adjust GmbH schickt. Die Mozilla-Entwickler erklären zwar, wie man dieses Tracking in den Einstellungen über die oben erwähnte Option "Anonyme Nutzungsdaten senden" abschaltet.

Aber sich sage mal so: Wenn das Tracking Thema auf den App-Download-Seiten direkt thematisiert und die Voreinstellung auf Aus gesetzt worden wäre,  hätte das keinen tangiert. So bleibt aber ein Geschmäckle, und das heftig. Und es gilt: Das Tracking ist für alle Firefox-Mobile-Apps unter Android und iOS eingeschaltet.

Ein No-Go für mich

Wurde da ein "Wolf im Schafspelz" eingefangen? Führt grenzenlose Naivität in den Abgrund? Ich weiß es nicht – aber Firefox Klar [und die restlichen Firefox-Apps] sind für mich erst einmal unten durch. Man könnte Firefox Klar zwar mit abgeschalteter Option verwenden – aber kann man der App noch trauen? Wird bei einem App-Update die Tracking-Option wieder eingeschaltet? Die Antwort müsst ihr euch selbst geben. Die Transkription einer Sendung des Deutschland-Funks mit dem Gespräch zwischen Manfred Kloiber und Peter Welchering ist hier dokumentiert. Dort lassen sich weitere Details nachlesen.

[Ergänzungen: Gegenüber dem ursprüngliche Beitrag habe ich nachträglich den Abschnitt zum Tracking-Framework eingefügt. Bei Bleeping Computer ist zwischenzeitlich ein Beitrag erschienen (ich hatte den Autor angemailt), der auch ein Statement von Mozilla enthält. Zur Aussage, dass Mozilla nicht von Welchering kontaktiert worden sei, kann ich nichts sagen. Die im Transkript von Deutschlandfunk erwähnte Aussage, dass Firefox Klar auf Android läuft, ist falsch – das wird von Mozilla zu Recht bemängelt. Wer das Umfeld einer Sendung kennt, weiß aber, wie schnell in einem Interview etwas gesagt wird, was man bei einem rein textbasierten Artikel gleich korrigiert hätte. Nachtrag: Ich habe mit Herrmann Sauer, der als Sicherheitsspezialist genant wurde, gesprochen. Er nimmt die Schuld für diese Fehlinformation auf sich – im Hinterkopf hatte er wohl Firefox für Android, sprach aber im Telefoninterview von "Firefox Klar für Android", was nicht stimmt (gibt es nicht). Den Ausführungen des Mozilla-Sprechers, der versucht, den gesamten Kontext durch diese Argumentation zu kippen, kann ich so nicht folgen. Fakt ist – und das wird bei Deutschlandfunk und hier im Artikel kritisiert: Mozilla hätte das Tracking im Firefox Klar deutlich kommunizieren und die Funktion deaktiviert ausrollen können – was nicht passiert ist. Und dazu wird nichts gesagt. In meinem englischsprachigen Beitrag finden sich noch einige weitere Hinweise.]

Ähnliche Artikel:
Datenskandal: 'bist Du gläsern?' Millionen Daten von deutschen Surfern offen gelegt
Ergänzung zum #Surfgate: Politikerdaten aufgetaucht,
Datenskandal: Mozilla und Google werfen "Web of Trust" raus
WoT: Oh, sorry, wir haben eure Daten unabsichtlich verkauft
Finger weg von der Android Meitu-Selfie-App
Browser Add-On Stylish – der neue Datensammler?
Dobrindt will Datenschutz lockern …
Googles Probleme: Fake-News und Chrome-Erweiterungen als Werbeschleudern


Anzeige

Dieser Beitrag wurde unter App, Firefox, iOS, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu Firefox Klar: “Datenschutz-Browser” als Datenschleuder

  1. Nobody sagt:

    Eine Riesensauerei das.

  2. gs sagt:

    Ja, tatsächlich eine Riesensauerei – aber nach der Kooperation mit Cliqz (tausche viele Tracker gegen "alles-in-einer-Hand") muss man ja auch bei Mozilla mit allem rechnen.

    Hier noch auf deutsch was Mozilla zu adjust sagt:
    https://support.mozilla.org/t5/Schützen-Sie-Ihre-Privatsphäre/Anonyme-Nutzungsdaten-zu-Firefox-auf-Mobilgeräten-übermitteln/ta-p/28519

    Nur hat der von mir geschätzte DLF dann doch etwas unsauber berichtet:
    – ",,,wenn man Firefox Klar installiert auf seinem iPhone oder Android-Phone…" -> laut Mozilla gibt´s den doch nur für iphone/ipad…
    – "Übermittlungsfunktion …. Wer sie abschalten will, muss sich gut in die Dokumentation einarbeiten. Das erfordert einen gewissen Aufwand." -> da gibt´s eine Einstellung und gut ist.

    Wie immer ist man gut beraten, wenn man mal in Einstellungen der Apps/Programme reinschaut und sich mal grob schlau macht, was es da alles an Einstellungen gibt.

  3. Ralf Lindemann sagt:

    Das erinnert an VW und den Dieselskandal: Zugesicherte Produkteigenschaften, mit denen das Produkt beworben wird, gibt es nicht oder werden heimlich abgeschaltet. Hier endet dann aber schon die Analogie zwischen VW und Mozilla: Während die VW-Fahrzeuge technisch nachgerüstet werden müssen, damit die beworbenen Produkteigenschaften erfüllt werden, braucht man bei Firefox Klar offenbar nur einen Schalten umstellen. Auf die Frage „Kann man Firefox Klar noch unbedenklich verwenden?" antwortet Peter Welchering in dem oben verlinkten DLF-Interview: „Wenn man als Anwender die Funktion für die Datenübermittlung abschaltet, kann man Firefox Klar verwenden, ansonsten Nein, Klares Nein." Das ist, wenn man so will, die gute Nachricht im Schlechten: Firefox Klar liefert offenbar den zugesicherten Datenschutz, wenn der Browser entsprechend konfiguriert ist. Dass Firefox Klar mit Datenschutz beworben und in der Startkonfiguration als Datenschleuder ausliefert wird, ist allerdings skandalös. Damit verspielt Mozilla Reputation und Vertrauen. Wenn sich Anwender enttäuscht abwenden, ist es ihnen nicht verdenken. Bleibt die Frage: Was sind die Alternativen?

  4. Tim sagt:

    "Wurde da ein "Wolf im Schafspelz" eingefangen?"

    Das Spiel ist allerdings auch unfair von Anfang an.
    Die Werbe- und Tracking-Industrie schwimmt im Geld hat alle Möglichkeiten und Mittel zur Verfügung und Firmen die dagegen halten wollen, laufen dem Geld hinter her.
    Das ganze Spiel gegen Tracking und Werbung ist ein reines Wettrüsten.

    Das ist ähnlich konfus, wie ein Blog in dem man sich über derartige Techniken aufregt, aber eben doch auch ein kleines Stückchen vom Werbekuchen haben möchte.

    Offenbar geht es einfach nicht anders, als kleine Übel eben zuzulassen…
    Ansonsten müsste man Tracking und Werbung komplett aussperren, aber das kann und will offenbar niemand konsequent. Daten und letztlich Geld sind wie immer einfach zu verlockend.

    Das ganze mit einem Aufwand, der erstaunlich ist.

    Ich hab eigentlich grundsätzlich nix gegen Werbung, aber das was mittlerweile daraus geworden ist, ist einfach nur noch Dreck. Gut ist heute nicht mehr das, was auch gut ist, sondern was die Masse will, oder eh kauft. Werbung ist doch praktisch überflüssig.

    Trotzdem müssen alle wissen, was der Nutzer wohl möglicherweise interessant findet um neue Versprechen (oder Lügen?) zu generieren…

    Wie wäre es mal mit einem Programm, das Trackingdaten sinnlos verändert, verfälscht und zusammenwürfelt? Mit voller Absicht Daten erfinden, die dann die Masse der Nutzer den Datensammlern in den Hals stopft?
    Das sammeln zu verhindern funktioniert ja nicht, also sollte man denen die Sammeln wollen, das sortieren und auswerten einfach erschweren, oder unmöglich machen.
    Sollen die mal ihr Geld dafür verbrennen.

    So wie bisher weden die gesammelten Daten nur genauer…

  5. Und der nächste unseriöse Artikel, weil mies recherchierte Artikel auf dieser Webseite, der ein falsches Bild vermittelt. Ich weiß nicht, was die Motivation dahinter ist, aber ich finde es ziemlich daneben, wie hier "Journalismus" betrieben wird, das ist sogar unter dem Niveau der Bild. Firefox für Android nutzt Adjust auch schon seit Ewigkeiten und es wurde seitens Mozilla auch kommunziert, zu welchem Zweck. Wer es nicht schafft, solche Informationen zu finden, sollte keinen Blog betreiben.

    • PS: Ja, die Quelle war schon schlecht recherchiert. Aber statt abschreiben kann man halt selbst mal recherchieren. Firefox für Android nutzt Adjust auch schon seit Version 38.0.5, es war in den Release Notes erwähnt und diese waren mit einer Ankündigung verlinkt, wo mehr darüber zu lesen stand. Dauert keine fünf Minuten zu finden, wenn man weiß, was eine Suchmaschine ist. Oh, Firefox Focus nutzt also das gleiche Tool wie Firefox für Android? Wow, Mega-Überraschung.

      • Günter Born sagt:

        Ich lasse deinen Kommentar einfach mal unreflektiert stehen – meine Kritikpunkt finden sich ja im Text. Dass FF in Android seit V 38.0.5 Adjust verwendet und das bekannt gab, ist ja nice – aber das liest kein normaler Nutzer. Ist auch nicht das Thema, sondern hier geht es um Firefox Klar, die Default-Einstellung und die Beschreibung von Mozilla, was sich irgendwie beißt.

      • Nobody sagt:

        Traurig für Mozilla und Firefox, dass man die hemmungslose Datensammelei des "Datenschutz-Browsers" gar nicht bestreitet, sondern lediglich darauf hinweist, dass das ja bekannt sei.

      • Holger K. sagt:

        Es geht hier nicht darum, dass Firefox für Android und iOS Adjust nutzt, sondern darum, dass bei Firefox Klar, der als Datenschutzbrowser beworben wird, der Defaultwert bei "anonyme Nutzungsdaten senden" auf "Ein" steht, die anonymen Nutzungsdaten bei Erstbenutzung gar nicht mal so anonym daher kommen und gleichzeitig dafür ein Drittanbieterframework im Browser selber eingebaut dafür benutzt wird. Da beißt sich also etwas ganz gewaltig.

        Ich möchte hier betonen, dass mir durchaus bekannt ist, dass es nichts umsonst gibt und dass andere Anbieter von kostenlosen Addons wie Contentblockern selber Datentrackingmethoden in ihre Addons eingebaut haben.

        Da wäre es mir doch lieber, ich hätte einen Browser, der explizit auf so etwas verzichtet und dafür eine jährliche Gebühr erhöbe. Aber so etwas dürfte für den größten Teil der Nutzer wohl nicht in Frage kommen.

      • ghost sagt:

        Sören Hentzschel sollte man mit Vorsicht genießen. Er "kuschelt" schon lange mit Mozilla unter einer Decke und ist stets bemüht die Ausrutscher von Mozilla in einem positiven Licht darzustellen.

        Das ist genauso wie wenn VW sagt: Unsere Diesel sind sauber.

    • Ralph sagt:

      Klingt ja fast so, als würdest Du persönlich unter dem Artikel zu leiden haben. Fühl Dich mal getröstet.

  6. Herr IngoW sagt:

    Ja auch "Mozilla" braucht Geld, egal woher. Und der Kunde der die ellenlangen "Datenschutz-Sachen" sowieso nicht liest ist mal wieder angeschmiert.
    Datensammeln ist ja im Moment die neue Währung mit der man freie und auch andere Software freiwillig oder unfreiwillig bezahlt, ist aber bei einem Browser der mit "Klar" beworben wird garantiert nicht so toll und wird "Google" wohl noch mehr Leute in die Arme treiben. (Die sammeln ja sicher noch mehr Daten als "Mozilla")
    Auf welchen Browser kann man als Normalbürger überhaupt noch setzen.

  7. Ralf Lindemann sagt:

    Kleine Ergänzung: Die Wirtschaftswoche berichtete bereits am 4. Februar in einer Vorabmeldung über die Firefox-Datenschutzlücke bei iPhones und iPads. Interessant: Die technische Recherche um Datenschutz-Experte Hermann Sauer hat Comidio erbracht. „Comidio ist ein unabhängiges, zum Schutz der Privatsphäre im Internet neu gegründetes Unternehmen" und wird unter anderem vom Bundesministerium für Bildung und Forschung gefördert (vgl.comidio.de/unternehmen/). Mozilla hat auf Anfrage der Wirtschaftswoche die Datenschutzlücke bei Firefox Klar „bestätigt" (vgl. http://www.wiwo.de/unternehmen/it/firefox-datenschutzluecke-bei-iphones-und-ipads/19345842.html).

  8. Andreas B. sagt:

    Wie zu erwarten war, ist der Deutschlandfunk in seiner wöchentlichen Sendung Computer & Kommunikation (immer samstags 16:30-16:55h) gestern nochmals ausführlich auf das Thema eingegangen. – Transkript der Sendung hier: Welche Nutzerdaten die Firefox-App tatsächlich sammelt.

  9. Kay S. sagt:

    Mit Update 70.0.1 hat die Mozilla Foundation (Firefox) jetzt auch für jede auf Windows installierte Version von Firefox das ungefragte:

    "Installieren und Durchführen von Studien erlauben" (wörtlich) eingeführt.
    – noch nicht getestet in Linux und Android

    Ein nachträgliches Opt Out (Häkchen weg in den Einstellungen) ist zwar möglich, aber dann ist bereits ohne Einwilligung des Nutzers eine Studie mit dne lokalen Daten erstellt und versendet worden !

    Wie gesagt… Das ist ab sofort Standard bei Firefox auf Windows ! (Stand 17.11.2019)

    Firefox sagt zwar wörtlich in seinen Einstellungen (Datenschutz & Sicherheit):

    Zitat:

    "Wir lassen Ihnen die Wahl, ob Sie uns Daten senden, und sammeln nur die Daten, welche erforderlich sind, um Firefox für jeden anbieten und verbessern zu können. Wir fragen immer um Ihre Erlaubnis, bevor wir persönliche Daten senden."

    Versendet aber sowohl wörtlich: "Daten zu technischen Details und Interaktionen" an Mozilla als nun auch weitere x-beliebige Analysedaten (Studien).

    Wie gesagt… Beides lässt sich nachträglich deaktivieren, NACHDEM BEREITS DATEN GESENDET WURDEN OHNE NACHFRAGE !!!

    Setzt man einen Network- Sniffer ein sieht man das auch sehr deutlich.

    Da aktuell ALLES sauber verchlüsselt ist haben wir als Benutzer selbst keinen Einblick mehr, was tatsächlich alles raus geht !!!

    Zu meinem Hintergrund:

    Ich bin aktuell IT- Systemadminstrator im Webbereich und habe 2 Jahrzehnte Erfahrung im Bereich Netzwerk/Netzwerksicherheit.

    Firefox wird leider immer mehr (auch aus anderen vielen Gründen) zu einem echten Problem für Anwender (aus professioneller Sicht).

    Die Jahre in denen Firefox Vorbild in vielerlei Hinsicht war sind leider vorbei. Sehr schade!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.