Mozilla удаляет код отслеживания рекламы из Firefox. Что это меняет?

Обозреватель Mozilla Сёрен Хентцшель заметил странное изменение в Android- и iOS-версиях браузеров Firefox и Firefox Focus. Оказывается, SDK от Adjust, который использовался для отслеживания эффективности рекламных кампаний, был удалён из новейших сборок этих браузеров.

Снимок экрана из репозитория Mercurial от Mozilla для релизной ветки браузера Firefox, показывающий, что служба метрики и связанный с ней тумблер были удалены. Ссылка предоставлена Sören Hentzschel. Источник: Mercurial-репозиторий Mozilla

Если вы не слишком внимательно следите за Firefox, то можете задаться вопросом: зачем вообще нужен SDK для отслеживания рекламы? В конце концов, Mozilla всегда позиционировала себя как поборника конфиденциальности. Так как так получилось, что в браузере оказались сторонние трекеры?

Секрет Полишинеля

Возможно, кого-то это шокирует, но Mozilla спокойно использовала Adjust SDK в течение многих лет. Ещё в 2020 году любопытный пользователь Reddit на сабреддите Firefox потребовал ответов на вопросы о сотрудничестве в области телеметрии: какие данные отправляются, как они используются и как это согласуется с имиджем Mozilla как «защитника конфиденциальности».

«Вообще, я бы предположил, что компания, которая зарабатывает на защите конфиденциальности, не стала бы заключать такое партнёрство. Действительно ли здесь нет конфликта интересов?» — спросил пользователь Reddit. Этот вопрос, вероятно, занимал многих пользователей.

Ответ Mozilla на тот момент заключался в том, что они предпочитают использовать SDK с открытым исходным кодом, когда это возможно, и обычно полагаются на свой собственный SDK Glean для сбора данных. Однако они утверждали, что им нужно более надёжное решение для управления маркетинговыми кампаниями и их оценки в разных странах и валютах. Для этой цели они выбрали Adjust, поскольку, по их словам, это был «единственный продукт с открытым исходным кодом, который отвечал всем требованиям» для решения сложных маркетинговых задач их глобальной базы пользователей.

Что такое Adjust?

Мы уже не в первый раз рассказываем об этой телеметрической компании. Ровно два года назад мы выделили её как один из трекеров, встроенных в несколько популярных VPN-серверов. Трекеры и VPN? К сожалению, иногда они идут рука об руку.

Вот что мы тогда узнали о Adjust:

Adjust — это компания по мобильной атрибуции и аналитике, принадлежащая и управляемая adjust GmbH. «Безлимитный и неограниченный — это слова, которые мы часто используем, когда описываем наш доступ к данным», — хвастается сервис. Adjust утверждает, что его SDK и API могут обрабатывать такие данные, как хешированные IP-адреса, идентификаторы мобильных устройств, действия в приложении, включая покупки и регистрацию, информацию о взаимодействии пользователя с рекламой, данные сенсорных датчиков, акселерометра, гироскопа, аккумулятора, датчика освещённости, аппаратные характеристики устройства и версию операционной системы. Компания утверждает, что не обогащает эти данные для идентификации отдельных пользователей, а также не передаёт и не раскрывает их «никому, кроме наших поставщиков услуг и в ответ на законные запросы государственных органов». Данные хранятся до тех пор, пока разработчики используют SDK, если Adjust специально не попросит сделать иначе.

Для чего Mozilla использовала Adjust: её же словами

Mozilla утверждает, что Firefox для Android использует Adjust SDK для отслеживания и анализа происхождения установленных приложений, в частности, чтобы определить, установил ли пользователь браузер в результате определённой маркетинговой кампании.

Таким образом, когда начинается новая сессия, Firefox отправляет на серверы Adjust «сообщение о сессии», содержащее такие данные, как версия приложения, информация об устройстве, язык, страна и количество сессий.

Вот более подробная информация:

Основная информация о приложении:

• Идентификатор приложения (bundle_id)
• Версия приложения
• Название и тип устройства
• Версия ОС

Информация о пользователе:

• Язык
• Страна
• Идентификаторы конкретного устройства (например, idfv)

Подробности сессии:

• Количество сессий
• Настройки отслеживания (включено ли оно)

Дополнительные данные:

• Временные метки (например, когда начался сеанс и когда было отправлено сообщение)
• Включена ли буферизация событий

Затем Adjust обрабатывает эту информацию и, если установка может быть отнесена к определённой кампании, отправляет ответ с данными об атрибуции. Этот ответ включает в себя идентификаторы кампаний и информацию о трекерах, но Firefox утверждает, что не использует и не хранит эти данные. Всё передаётся по протоколу HTTPS, что означает, что данные шифруются во время передачи — это защищает их от перехвата или фальсификации.

Зачем удалять его сейчас?

Mozilla не подтвердила очевидное удаление Adjust SDK. Если вы используете Firefox на Android, вы всё ещё можете увидеть информацию о том, что Firefox делится «основными данными об использовании» с Adjust в настройках, если версия вашего браузера старше 129.0.2 (Firefox) или 130.0 (Firefox Focus). Проверить это можно в разделе Настройки → Сбор данных → Маркетинговые данные.

Скриншот настроек браузера Firefox на Android

С одной стороны, Mozilla ранее защищала использование SDK, так что же изменилось? С другой стороны, она также получила и негативную обратную реакцию в ответ на это.

Возможно, это сложный вопрос, который Mozilla, некоммерческая организация, пока не хочет комментировать, особенно в свете её недавней поддержки новой функции сбора данных, предназначенной для помощи рекламодателям в отслеживании эффективности рекламы. Функция называется Privacy-Preserving Attribution (PPA), т. е. «Атрибуция с сохранением конфиденциальности», и включена по умолчанию в новейшей версии браузера.

Что бы это ни было, Mozilla пока предпочитает молчать об очевидных изменениях.

Похвальный шаг, но достаточно ли его?

Решение Mozilla удалить Adjust SDK вызвало неоднозначную реакцию пользователей, некоторые из которых считают его запоздалым и реакционным, а не упреждающим шагом к реальному улучшению конфиденциальности.

Источник: Reddit

Мотивы этого изменения остаются неясны. Как предположил один из пользователей, это может быть частью более широкой стратегии Mozilla по переносу сбора данных на собственные серверы, что соответствует её формирующейся идентичности как компании, специализирующейся на рекламных технологиях. По нашим прогнозам, вечный вопрос о том, возможно ли быть одновременно крупным игроком в сфере рекламных технологий и при этом оставаться верным защитником конфиденциальности, теперь будут задавать Mozilla всё чаще.

Есть и «слон в комнате», который в некоторой степени сводит на нет всё то хорошее, что Mozzila якобы делает, удаляя SDK для отслеживания рекламы третьих лиц: «слон» — это функция PPA, которая продолжает вызывать опасения по поводу масштабов сбора данных под видом защиты конфиденциальности.

Доля рынка Mozilla продолжает сокращаться — за последние 12 месяцев она упала ниже 3%. И удаление Adjust вряд ли вернёт доверие пользователей к компании, если это вообще было целью, на фоне растущих разногласий по поводу методов сбора данных. Но, возможно, будет разумно подождать и посмотреть.