Mozilla v listopadu vydala nový produkt pro iOS, který nazvala Focus. Prvně jsme se o něm zmiňovali již koncem roku 2015, před pár měsíci si však odbyl veřejnou premiéru. Jedná se primárně o nástroj na blokování reklam a jiných prvků na webu pro Safari, který má chránit soukromí uživatelů a uživatelek. (Funguje i jako samostatný prohlížeč.) Protože je jeho cílem úspěšný boj se sledováním, k čemuž patří rovněž prvky sociálních sítí, typicky tlačítko Like od Facebooku, nečekali byste, že vás bude sám sledovat. Jak jsme již mnohokrát řešili, často je sbírání anonymizovaných telemetrických dat zbytečně démonizováno, jindy zase dobrovolně a až příliš snadno dáváme některým firmám mnohem citlivější údaje. Téma je to komplexní a nelze jej bagatelizovat. Vždy záleží na tom, jaké údaje jsou sbírány, zda proběhne anonymizace a kdo údaje zpracovává a má k nim přístup. To jsou základní otázky.
Mozilla a soukromí
Jak je to s Focusem? Novinář Peter Welchering zkontaktoval bezpečnostního experta Hermanna Sauera. Výsledek zní, že aplikace sleduje chování uživatelů a uživatelek v rámci aplikace a při surfování na webu. Ví, kam chodíte a zná mj. vaši adresu IP. Tyto informace a mnohem více dalších dat pak aplikace údajně odesílá německé firmě Adjust, která se zabývá zpracováním tzv. velkých dat.
Focus (Foto: Mozilla)Odesílání je ve Focusu automaticky zapnuté. Od neziskové organizace bychom nekalé činnosti neočekávali a lze předkládat, že v tomto případě nestojí za celým procesem špatné úmysly. Ve výsledku je nicméně pravda, že pokud očekáváte absolutní ochranu soukromí, do jisté míry tuto důvěru Focus narušuje. Domnívám se, že by sledování mělo být volitelné.
Rozdíl mezi sběrem dat ve Firefoxu a ve Focusu
Mozilla na webu podpory sběr a okolnosti popisuje. Za prvé se ze sdělení dozvíte, že je toto sledování aktivní rovněž v klasickém Firefoxu pro iOS a Android. Mozilla tvrdí, že tímto zjišťuje, na základě jakého podnětu jste si prohlížeč nainstalovali a jaký přístroj používáte. Adjust pak provozuje službu na pozadí, která sbíraná data přijímá. Dále organizace přiznává, že všechny prohlížeče posílají telemetrii nejen při instalaci, ale jednou za čas po instalaci.
V těchto případech jsou sbírána data informující o tom, jak často aplikaci používáte. Speciálně Focus – v Německu známý též jako Klar – pak ještě prozrazuje, jaké funkce využíváte. U toho nekončí. Dále zjišťuje, jaké filtry používáte, a také počítá, kolikrát jste zmáčkli tlačítka pro hledání, prohlížení a vymazání uživatelského obsahu (Erase). To zní všechno jako telemetrie, tedy sběr údajů o využívání aplikace, které pomohou aplikaci zlepšit.
Ačkoli se v tomto případě možná nejedná o jednoznačný cílený zásah do soukromí, vzhledem k okolnostem považuji za nevhodné, aby byl sběr automaticky zapnutý. Měl by být vypnutý s tím, že by se aplikace měla maximálně zeptat, zda se sběrem telemetrických dat souhlasíte. Zvlášť by mělo být jasně uvedeno, co se s daty děje. Adjust by je klidně mohl prodávat pro reklamní účely. (Takové klienty podle Günter Borna má.)
Chybí důkazy, Mozilla se brání
Zmíněný Günter Born, německý blogger, poukazuje na to, že v příspěvku, kde Mozilla svou aplikaci oznámila, se nachází šikovně oříznutý snímek obrazovky, na němž není vidět předvolba pro vypnutí sběru dat ve Focusu. Na situaci již zareagovala samotná Mozilla. Potvrdila sběr informací týkajících se instalace a pak využívání funkcí, které krátce napsáno pomáhají vylepšovat produkty. Uvedla, že historie prohlížení není odesílána Mozille ani firmě Adjust.
Oříznutý obrázek, který skrývá předvolbu pro sdílení telemetrie (Foto: Mozilla)Jak tedy upozornil BleepingComputer, není důvod si myslet, že by Mozilla zrazovala naši důvěru. Původní report od německého experta totiž nepřináší konkrétní důkazy, jen neurčitá tvrzení týkající se narušení důvěry a posílání osobních a neanonymizovaných dat aplikací Focus. Pokud Hermann Sauer svá tvrzení nedoloží, nemají váhu. Mozilla je navíc otevřená a sběr dat popisuje na svém webu.
Stále ovšem platí, co jsem uvedl výše: nepovažuji za vhodné, aby byl sběr automaticky aktivní. Prohlížeč by se měl na odeslání telemetrických dat ptát, nebo by měla být funkce vypnutá s tím, že ji lze zapnout ručně. Dále by mělo být na webu Mozilly více popsáno, co se daty (ne)může dělat Adjust. V takovém citlivém případě by patrně měl web obsahovat více informací o sbíraných datech.
