dltoken: Mozilla kann jede Firefox-Nutzung tracken

dltoken: Mozilla kann jede Firefox-Nutzung tracken

von Lars Sobiraj Lesezeit: 5 Min.

Bei einem Download des Firefox von Mozilla.org bindet man den dltoken ein. Dies ist eine eindeutige Kennung zur Überwachung der Nutzer.

Inhalt

Ob die Mozilla Foundation mit dem dltoken den massiven Nutzerschwund des Firefox der letzten Monate wettmachen kann? Wahrscheinlich passiert bald das genaue Gegenteil. Wie gestern eher zufällig bekannt wurde, ist man dazu übergegangen, jedes Installationsprogramm vom Firefox (FF) mit einer eindeutigen Kennung zu versehen.

Diese eindeutige Nummer übermittelt der Browser z.B. bei der Installation und ersten Ausführung an die Server von Mozilla. Da der Hersteller häufig mit dem Thema Datenschutz und der Wahrung der Privatsphäre der Nutzer wirbt, dürfte dieses heimlich implementierte „Feature“ bei der Community sicherlich für einigen Aufruhr sorgen.

Der dltoken als perfektes Überwachungswerkzeug?

Die eindeutige Kennung, von Mozilla intern dltoken genannt, verwendet der Hersteller, um Downloads mit Installationen und erste Starts des Firefox-Browsers verknüpfen zu können. Die Kennung lautet für jedes Firefox-Installationsprogramm anders und wird pro Download auch nur einmal vergeben. Das bedeutet, dass die Kennung plattformübergreifend bei jeder Verwendung des Browsers an Mozilla übermittelt werden kann. Um Mozilla zu verwirren, könnte man dazu übergehen, bei jedem Update ein neues Installationsprogramm zu verwenden, damit der Download-Token jeweils neu vergeben wird. Doch diesen Aufwand wird wohl kaum jemand betreiben.

dltoken
Ausschnitt aus dem Quellcode vom Firefox. Quelle: firefox-source-docs.mozilla.org

Ein Fehlerbericht auf Mozillas offizieller Website zur Fehlerverfolgung bestätigt die Verwendung des Download-Tokens. Das dort verlinkte Dokument ist nicht öffentlich. Aber der Eintrag selbst bestätigt die Verwendung und liefert eine Erklärung, warum man den dltoken wohl schon vor längerer Zeit implementiert hat:

„Diese Daten ermöglichen es uns, Telemetrie-IDs mit Download-Tokens und Google Analytics-IDs zu korrelieren (= in Verbindung zu setzen). So können wir nachvollziehen, welche Installationen aus welchen Downloads resultieren, um Antworten auf Fragen wie ‚Warum sehen wir so viele Installationen pro Tag, aber nicht so viele Downloads pro Tag?‘ zu finden.“

bugzilla.mozilla.org

LibreWolf

Laut Mozillas Beschreibung verwendet man die Kennung also unter anderem zur Analyse von Download- und Installationstrends. Der dltoken wird bei allen Betriebssystemen und Firefox-Kanälen per Voreinstellung eingebunden. Wer das überprüfen möchte, muss lediglich den Hash von zwei Firefox-Downloads miteinander vergleichen. Aufgrund des unterschiedlichen dltoken ist der Hash jedes Mal ein anderer. Eine Suche nach dltoken mit einem beliebigen Hex-Editor offenbart ebenfalls die Zeichenfolge im Firefox-Installationsprogramm.

Nutzt Mozilla den dltoken schon über ein Jahr lang?

Die Diskussion bei bugzilla.mozilla.org ist übrigens schon ein Jahr alt. Stellt sich also die Frage, seit wann man den Download-Token schon aktiv per Default verwendet. Nach eigenen Angaben überträgt der Firefox weiterhin nicht das Surfverhalten des Anwenders.

Andere Download-Quellen als Mozilla.org nutzen!

Wer auf derartige Features verzichten möchte, kann Mozillas HTTPS-Repository für den FF-Download in Anspruch nehmen. Dafür muss man aber zuvor die gewünschte Browser-Version und das Betriebssystem auswählen. Oder aber man lädt das Installationsprogramm von Softonic, Chip oder von einem anderen Download-Portal herunter. Bei solchen Webseiten ist kein einmaliger dltoken enthalten.

Gute Gelegenheit, den Browser zu wechseln!

Vielleicht wäre dies ein guter Moment, um über einen Wechsel des Browsers zu einer datensparsamen Variante nachzudenken. Firefox-Fans können beispielsweise plattformübergreifend auf den LibreWolf zurückgreifen, den Mike Kuketz sehr positiv bewertet hat.

Wir haben zwar bisher nicht getestet, ob der Librewolf einen Download-Token verwendet. Immerhin wirbt man dafür, alle Bestandteile entfernt zu haben, die im FF der Telemetrie dienen. Bei einer vollständigen Entfernung wäre der Browser folglich nicht dazu in der Lage, irgendwelche Daten an die Mozilla-Server zu übertragen.

Datenschutz sieht anders aus!

Für Chrome-Fans gibt es z.B. den Ungoogled Chromium, der alle Features des derzeit führenden Browsers enthält, aber um alle Funktionen bereinigt wurde, bei denen Daten an Google abfließen. Chrome besitzt zumindest einen Vorteil: Jeder Download ergab bei einer oberflächlichen Überprüfung stets den gleichen Hashwert. Doch wer weiß, ob Google das neue Tracking nicht bald von Mozilla abkupfern wird?!?

Merkwürdige Informationspolitik beim dltoken

Ungoogled Chromium

In einer Stellungnahme gegenüber ghacks.net weist Mozilla darauf hin, dass es sich bei dem Opt-Out-Mechanismus um ein Standard-Telemetrie-Opt-Out handelt. Allerdings lässt man die Anwender dabei völlig im Unklaren, wie man die Verwendung des dltoken vor der Installation deaktivieren kann. Auch die Firefox-Hilfe bietet keinen Eintrag zum Thema dltoken oder Download-Token.

Auch hat man die Nutzer dieses angeblich ach so datensparsamen Browsers nie explizit über diese Neuerung in Kenntnis gesetzt. Sorry, aber die meisten Leser dürften sich unter den Begriffen Datenschutz und Transparenz etwas anders vorstellen.

Wie beurteilt ihr die Lage?

Mozilla könnte jede einzelne Nutzung ihres Browsers eindeutig zuordnen und sogar noch mit anderen Daten verknüpfen. Alles halb so wild? Oder doch ein Datenschutz-Albtraum, wie seht ihr das? Hinterlasst uns im Forum bitte einen Kommentar. Danke!

Tarnkappe.info

  Mehr zu dem Thema
Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.