Die Art, wie
Apple die Unterstützung für App-Stores von Drittanbietern umgesetzt hat, ermöglicht es über Safari (iOS) besuchten Webseiten potenziell, Nutzer im Internet zu verfolgen. Dies haben zwei Entwickler herausgefunden. Sie sind bei einer Untersuchung zum Schluss gekommen, dass der Ansatz von Apple besonders schlampig ist. "Unsere Tests zeigen, dass Apple diese Funktion mit katastrophalen Sicherheits- und Datenschutzmängeln ausgeliefert hat", schreiben Talal Haj Bakry und Tommy Mysk in einem Bericht.
Zum Hintergrund: Apple hatte sich zähneknirschend den europäischen Kartellvorschriften des Digital Markets Acts gebeugt und liess schlussendlich in der EU App-Stores von Drittanbietern auf iOS zu ("Swiss IT Magazine"
berichtete). Bis anhin konnte nur der hauseigene App Store genutzt werden, der auf den Geräten vorinstalliert war. Für die Schweiz gilt die Regelung als Nicht-EU-Land allerdings nicht.
Apple, das den hauseigenen Safari-Browser als "unglaublich privat" bewirbt, hat dem
Blogbeitrag zufolge die Privatsphäre der Safari-User in der EU durch ein Marketplace-Kit untergraben. Die zugelassenen App-Stores von Drittanbietern sollen in iOS 17.4 durch ein neues URI-Schema die Möglichkeit haben, Nutzerinnen und Nutzer im Internet zu verfolgen. Mit einem URI-Schema wird definiert, wie eine bestimmte Netzwerkanfrage behandelt wird. Infolgedessen wird als Teil des Installationsablaufs vom Marketplace Kit-Prozess eine eindeutige Client-ID-Kennung an das Marketplace-Backend geschickt. Sowohl Safari als auch der Marketplace Kit-Prozess würden es somit jeder Webseite erlauben, das URI-Schema eines bestimmten Marktplatzes aufzurufen. Das können Webseiten wiederum nutzen, um dieselbe eindeutige Kennung an dasselbe Backend zu senden. Auf diese Weise kann ein bösartiger Marktplatz letztlich Benutzer über verschiedene Websites hinweg verfolgen.
Die Entwickler raten iOS-Nutzerinnen und -Nutzern in der EU, den Brave-Browser zu verwenden, wenn sie nicht getrackt werden wollen.
Update: Apple hat "Swiss IT Magazine" mittels Statement wissen lassen, Kenntnis von diesem Bug zu haben. Er soll mit dem nächsten Software-Update behoben werden.
(cma)