Firefox Klar (Focus): Datensendeverhalten Android-App – Browser-Check Teil15

1. Firefox KlarFirefox Klar

Im Rahmen der Artikelserie »Browser-Check« werden diverse Browser auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt.

Im vorliegenden Beitrag wird Firefox Klar (international Firefox Focus genannt) analysiert, der für Android und iOS verfügbar ist. Die Ausgangslage für den nachfolgenden Test von Firefox Klar ist wie folgt:

  • Betriebssystem: Android 11
  • Version: 8.16.0 (Google Play Store)
  • Konfiguration: Standardkonfiguration (keine Anpassungen)

Firefox Klar wird aktuell wie folgt beworben:

Firefox Klar – der Browser mit Privatsphäre.

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

2.1 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Verbindungsaufbau zu Mozilla zum Host »shavar.services.mozilla.com«:

POST /downloads?client=navclient-auto-ffox&appver=89.0&pver=2.2 HTTP/1.1
Host: shavar.services.mozilla.com
User-Agent: Mozilla/5.0 (Android 10; Mobile; rv:89.0) Gecko/89.0 Firefox/89.0
Accept: */*
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
Content-Type: text/plain
Content-Length: 254
Connection: close
Pragma: no-cache
Cache-Control: no-cache

mozplugin-block-digest256;
ads-track-digest256;
social-track-digest256;
analytics-track-digest256;
content-track-digest256;
mozstd-trackwhite-digest256;
google-trackwhite-digest256;
base-fingerprinting-track-digest256;
base-cryptomining-track-digest256;

Bei dieser Adresse handelt es sich um den Shavar-Server von Mozilla. Dieser übersendet neue Blocklisten (Werbung, Fingerprinting, Cryptomining etc.) an den Client, sofern ein Update bereitsteht. Diese Listen sind Teil der in Firefox Klar integrierten Tracking Protection, die man so auch von Firefox kennt – nur die Einstellungen über die GUI (unter Datenschutz & Sicherheit) sehen anders aus. Sofern Updates bereitstehen, werden diese von der Adresse »tracking-protection.cdn.mozilla.net« bezogen. Bspw.:

  • mozplugin-block-digest256
  • ads-track-digest256
  • social-track-digest256
  • analytics-track-digest256
  • content-track-digest256
  • mozstd-trackwhite-digest256
  • google-trackwhite-digest256
  • base-fingerprinting-track-digest256
  • base-cryptomining-track-digest256

[2] Verbindungsaufbau zu Firefox zum Host »firefox.settings.services.mozilla.com«:

GET /v1/buckets/monitor/collections/changes/changeset?collection=anti-tracking-url-decoration&bucket=main&_expected=0 HTTP/1.1
Host: firefox.settings.services.mozilla.com
User-Agent: Mozilla/5.0 (Android 10; Mobile; rv:89.0) Gecko/89.0 Firefox/89.0
Accept: */*
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
Connection: close

Bei der Adresse »firefox.settings.services.mozilla.com« handelt es sich offenbar um einen Mozilla-Server für »Remote Settings«, der auf Anfrage XML-Dateien zurückgibt. Diese XML-Dateien beinhalten unter anderem die neuesten Informationen zu Datenlecks bei Zugangsdaten oder Zertifikatswiderrufe. Beim initialen Start des Browsers werden zehn XML-Dateien über den Host »firefox.settings.services.mozilla.com« empfangen.

Über die GUI lässt sich das Verhalten nicht anpassen. Es bleibt nur das Blocken der Domain bzw. der Verbindung zu »firefox.settings.services.mozilla.com« über eine Android-Firewall wie NetGuard. Wer die XML-Dateien also nicht empfangen möchte, der muss zu härteren Mitteln greifen.

[3] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$ct=application/x-protobuf&key=AIzaSyC7jsptDS3am4tPx4r3nxis7IMjBc5Dovo&$httpMethod=POST&$req=ChUKE25hdmNsaWVudC1hdXRvLWZmb3gaCggFEAIiAiACKAEaCggBEAMiAiACKAEaCggDEAMiAiACKAE= HTTP/1.1
Host: safebrowsing.googleapis.com
User-Agent: Mozilla/5.0 (Android 10; Mobile; rv:89.0) Gecko/89.0 Firefox/89.0
Accept: */*
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
X-HTTP-Method-Override: POST
Connection: close
Pragma: no-cache
Cache-Control: no-cache

Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Firefox Klar in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.

2.2 Während der aktiven Nutzung

[1] Verbindungsaufbau zu Google zum Host »safebrowsing.googleapis.com«:

GET /v4/threatListUpdates:fetch?$ct=application/x-protobuf&key=AIzaSyC7jsptDS3am4tPx4r3nxis7IMjBc5Dovo&$httpMethod=POST&$req=ChUKE25hdmNsaWVudC1hdXRvLWZmb3gaCggFEAIiAiACKAEaCggBEAMiAiACKAEaCggDEAMiAiACKAE= HTTP/1.1
Host: safebrowsing.googleapis.com
User-Agent: Mozilla/5.0 (Android 10; Mobile; rv:89.0) Gecko/89.0 Firefox/89.0
Accept: */*
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
X-HTTP-Method-Override: POST
Connection: close
Pragma: no-cache
Cache-Control: no-cache

Während dem Test kontaktiert Firefox Klar ca. alle 30 Minuten die Adresse »safebrowsing.googleapis.com«, um die Blockliste herunterzuladen. Das Verhalten lässt sich über die GUI leider auch nicht anpassen bzw. deaktivieren.

[2] Verbindungsaufbau zu Mozilla zum Host »shavar.services.mozilla.com«:

POST /downloads?client=navclient-auto-ffox&appver=89.0&pver=2.2 HTTP/1.1
Host: shavar.services.mozilla.com
User-Agent: Mozilla/5.0 (Android 10; Mobile; rv:89.0) Gecko/89.0 Firefox/89.0
Accept: */*
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
Content-Type: text/plain
Content-Length: 254
Connection: close
Pragma: no-cache
Cache-Control: no-cache

mozplugin-block-digest256;
ads-track-digest256;
social-track-digest256;
analytics-track-digest256;
content-track-digest256;
mozstd-trackwhite-digest256;
google-trackwhite-digest256;
base-fingerprinting-track-digest256;
base-cryptomining-track-digest256;

In regelmäßigen Abständen wird die Domain »shavar.services.mozilla.com« kontaktiert, um ein Update der Blocklisten anzustoßen.

[3] Verbindungsaufbau zu Mozilla zum Host »firefox.settings.services.mozilla.com«:

GET /v1/buckets/monitor/collections/changes/changeset?collection=url-classifier-skip-urls&bucket=main&_expected=0 HTTP/1.1
Host: firefox.settings.services.mozilla.com
User-Agent: Mozilla/5.0 (Android 10; Mobile; rv:89.0) Gecko/89.0 Firefox/89.0
Accept: */*
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
Connection: close

In regelmäßigen Abständen wird der Remote-Settings-Server kontaktiert und die XML-Dateien empfangen.

3. Er­wäh­nens­wert

3.1 Basis bzw. Unterbau

Der Quellcode von Firefox Klar ist für jeden frei einsehbar. Zur Darstellung/Rendering von Webseiten nutzt der Browser die Gecko-Engine von Mozilla und ist damit losgelöst von der in Android mitgelieferten System WebView.

Insgesamt ist der Browser übersichtlich gestaltet und bietet nur die wesentlichsten Einstellungsmöglichkeiten. Es existiert weder eine Lesezeichen-Funktion noch die Möglichkeit, Add-ons nachzurüsten.

3.2 Suchmaschine

Google ist als Standardsuchmaschine voreingestellt. Im Gegensatz zu anderen Browsern wird nicht jede Tastatureingabe an die voreingestellte Suchmaschine übermittelt, wenn man etwas im Suchfeld bzw. der Adressleiste eintippt, sondern erst dann, wenn die Suchanfrage auch abgesendet wird. Über »Einstellungen -> Suche« lässt sich bei Bedarf eine andere Suchmaschine einstellen.

3.3 Tracking

Firefox Klar trackt den Nutzer nicht – jedenfalls nicht in der Standardkonfiguration. Über »Einstellungen -> Datenschutz & Sicherheit« lässt sich das Tracking (Nutzungsdaten senden) allerdings aktivieren. Es ist allerdings als Opt-In gestaltet. Vorbildlich.

Je nachdem wie streng man es auslegt, ist die ständige Aktualisierung von Trackinglisten bzw. der XML-Dateien für einige Nutzer allerdings bereits Tracking – so weit würde ich allerdings nicht gehen, da abgesehen von der IP-Adresse und dem User-Agent keine einmalig erzeugten Identifier übermittelt werden, die eine Wiedererkennung einer (Browser-)Installation ermöglichen.

3.4 Add-ons/Erweiterungen

Add-ons werden keine unterstützt. Standardmäßig hat der Browser allerdings einen Tracking- und Werbeblocker integriert, der bereits im Auslieferungszustand aktiviert ist. Die Filterlisten werden fortwährend aktualisiert. Über »Einstellungen -> Datenschutz & Sicherheit« lässt sich der Trackingschutz individuell anpassen.

Der Kuketz-Blog ist spendenfinanziert!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.5 Private Browsing/Privates Fenster

Einen »privaten Surf-Modus«, wie man ihn von anderen Browsern kennt, gibt es beim Firefox Klar nicht.

4. Fazit

Insgesamt hinterlässt Firefox Klar einen beinahe datenschutzfreundlichen Eindruck. Die Voreinstellungen sind abgesehen von der Suchmaschine (Google) relativ datenschutzfreundlich und lassen nur wenig Grund zur Klage. Bei Bedarf lässt sich der Tracking- und Werbeschutz über »Einstellungen -> Datenschutz & Sicherheit« noch nachschärfen. Ärgerlich ist die nicht vorhandene Möglichkeit, Google Safe Browsing zu deaktivieren. Aber auch die nicht deaktivierbare Kontaktaufnahme zu »firefox.settings.services.mozilla.com« hinterlässt einen etwas faden Beigeschmack, obwohl keine einmalig erzeugten Identifier übermittelt werden, die eine Wiedererkennung einer (Browser-)Installation ermöglichen.

Abgesehen von diesen Mängeln telefoniert der Browser nicht nach Hause und bringt einen Schutz gegen Tracker und Werbung mit. Wir erinnern uns mal kurz an den Marketingspruch, mit dem Firefox Klar beworben wird:

Firefox Klar – der Browser mit Privatsphäre.

Knapp daneben ist auch vorbei. Aber das ist Jammern auf hohem Niveau.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion
HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.