Von allen Technikgiganten hat uns Apple wiederholt daran erinnert, dass es derjenige ist, der sich am meisten um die Privatsphäre kümmert. Eine der vielen datenschutzorientierten Innovationen von Apple ist die Safari-Funktion „Intelligent Tracking Prevention“ – ein maschineller Lernalgorithmus, der bereits 2017 eingeführt wurde und darauf abzielt, lästige Werbung davon abzuhalten, Sie von einer Website zur nächsten zu verfolgen. In einem Anfang der Woche von Google-Forschern veröffentlichten Artikel wird jedoch behauptet, dass die „Intelligent Tracking Prevention“ (ITP) missbraucht werden kann, um an private Nutzerinformationen zu gelangen.
Hier ist das Wesentliche des Artikels der Google-Forscher: ITP von Safari schützt Nutzer vor dem Tracking, indem es bestimmte Websites daran hindert, Benutzerinformationen zu erhalten. Eine andere Möglichkeit ist, dass ITP erfährt, welche Websites Browser-Cookies oder Tracking-Skripte von Drittanbieter-Domains verwenden dürfen. Wenn Sie also eine Website absichtlich besuchen, trifft dies nicht zu. Wenn eine Website jedoch versucht, Sie über ein Skript zu verfolgen, und Sie sie nicht aktiv besucht haben, schaltet ITP das ab, indem es entweder die Cookies entfernt oder den Referrer-Header von der URL abhackt.
Auf der Grundlage der gefundenen Informationen werden problematische Domänen dann einer geräteinternen ITP-Liste hinzugefügt. Das Problem dabei ist die Klassifizierung von „guten“ und „schlechten“ Websites, die alle auf dem individuellen Surfmuster eines Benutzers basieren. Die Google-Forscher sagen, dass dies in Wirklichkeit bedeutet, dass „Safari einen globalen Zustand in den Browser eingeführt hat, der von jedem Dokument geändert und erkannt werden kann“.
Im Klartext bedeutet das, dass schlechte Akteure leicht feststellen können, ob ein Bereich unter ihrer Kontrolle auf Ihrer persönlichen ITP-Liste steht, und auch den ITP-Status eines beliebigen Bereichs offenlegen können. Von dort aus könnten Angreifer dann auf private Informationen über Ihre persönlichen Surfgewohnheiten schließen. Huch!
Die Forscher identifizierten auch fünf potenzielle Angriffe, die sich daraus ergeben könnten. Erstens könnten die Angreifer Domänen auf der ITP-Liste eines Benutzers aufdecken. Zweitens könnten die Angreifer auch einzelne Websites identifizieren, die ein Benutzer besucht hat. Diese ersten beiden Angriffe könnten einem schlechten Schauspieler eine Fülle von hochspezifischen Informationen darüber geben, welche Websites man wann besucht. Bei der dritten Art von Angriffen wird mittels ITP-Pinning ein „persistenter Fingerabdruck“ erstellt. Nach Ansicht der Forscher könnte dies dazu benutzt werden, „eine globale gemeinsame Kennung zu erstellen, die von jeder Website aus zugänglich ist oder gesetzt werden kann“. Im Allgemeinen ist der Fingerabdruck des Browsers eine fragwürdige Taktik, um Sie im Internet zu verfolgen, ohne dass Cookies oder IP-Adressen benötigt werden.
Viertens könnten Angreifer einfach willkürlich eine Domäne zu Ihrer ITP-Liste hinzufügen. Dies könnte zu Schwachstellen führen, bei denen schlechte Akteure Logins und Sicherheitsprüfungen fehlschlagen könnten. Und schließlich könnte ein Angreifer bei Webanwendungen mit Suchfunktionen ein neues Fenster mit einer ausgewählten Abfrage starten und sich über Ihre privaten Suchergebnisse informieren. Als Beispiel geben die Forscher von Google an, dass Angreifer herausfinden, wonach Sie in Ihrem Webmail-Posteingang suchen.
All dies liegt sicherlich im Unkraut, aber der Hauptgewinn ist das von Google gefundene ITP – eine Funktion, die die Nutzer vor der invasiven Nachverfolgung durch Dritte schützen soll -, das unbeabsichtigt schwere Datenschutz- und Sicherheitslücken enthält. Apple hat seinerseits im letzten Monat in seinen Updates Safari 13.0.4 und iOS 13.3 eine unbestimmte Anzahl der oben genannten Probleme behoben. Der Apple WebKit-Ingenieur John Wilander schrieb am 10. Dezember auch einen Blog, in dem er die in diesen Aktualisierungen enthaltenen Änderungen im Detail beschreibt, und hat seitdem über den „Stand der Cross-Tracking 2020-Standardeinstellungen“ getwittert – ein wahrscheinlicher Hinweis auf Google, da es in Chrome keine solche Option gibt.
Es gibt jedoch einige Meinungsverschiedenheiten darüber, ob diese Korrekturen ausreichend waren. Ars Technica bemerkte, dass die Änderungen von Apple „kurzfristige Abschwächungen“ zu sein schienen. Grundsätzlich erschweren die Aktualisierungen den Angreifern den Missbrauch von ITP, aber das grundlegende Problem der Funktion, die auf der individuellen Browsing-Geschichte beruht, bleibt bestehen. Diese Ansicht wurde auf Twitter von Justin Schuh, dem technischen Direktor von Google Chrome Trust and Safety, geteilt.
Schuh führte weiter aus, dass es um den Anti-Tracking-Ansatz gehe und dass Apples Versuch, das Problem durch das Hinzufügen „staatlicher Mechanismen“ zu mildern, oft die Tür zu ernsthafteren Datenschutz- und Sicherheitsbedenken öffnet. (Schuh warf auch Schatten in mehreren Tweets über Apples Blog und behauptete, dass es die Google-Forscher nicht richtig würdigte, die Schwachstellen nicht offenlegte oder die gemeldeten Probleme nicht angemessen behebt).
CPORT hat sich sowohl an Google als auch an Apple gewandt, um die Korrekturen zu kommentieren und zu behaupten, dass sie nicht ausreichend seien. Wir werden ein Update durchführen, wenn wir eine Antwort erhalten. In der Zwischenzeit können Sie ITP deaktivieren, wenn Ihnen die Nachricht eine Gänsehaut verursacht, indem Sie zu Safari-Einstellungen, Datenschutz gehen und das Kontrollkästchen „Cross-Site-Tracking verhindern“ deaktivieren.