Ende letzter Woche warnten Datenschutzbeauftragte davor, dass Apple iOS-Benutzerdaten an das chinesische Unternehmen Tencent sendet, eine alarmierende Entwicklung für jeden, der die Datenschutzversprechen des Unternehmens für bare Münze genommen hatte. Ein Hinweis in iOS 13 erwähnte, dass sein Safari-Browser das Safe Browsing-System von Tencent verwendet, um bösartige Webseiten zu bekämpfen – aber Tencent kann dabei IP-Adressen protokollieren.
Während dies seit Monaten oder sogar Jahren der Fall ist, werfen die Nachrichten ein scharfes Licht auf Apples jüngste Kämpfe mit Überwachung und Zensur in China – und die größeren Probleme mit dem Datenschutz im Internet.
Die Probleme von Apple basieren auf einer meist unumstrittenen iOS-Funktion: Safaris Option „Warnung vor betrügerischen Websites“. Die Warnung vor betrügerischen Websites, wie der Name schon vermuten lässt, warnt die Benutzer, wenn sie eine bekannte Phishing- oder Malware-Website besuchen wollen. Safari identifiziert diese Websites, indem der Webverkehr der Benutzer mit einer externen Blacklist verglichen wird. In der Vergangenheit war das typischerweise das Safe Browsing-Programm von Google. Laut einer iOS-Meldung verwendet Apple nun aber auch eine Blacklist von Tencent Safe Browsing.
Diese Blacklists sind ideal, um Benutzer vor schlechten Websites zu warnen. Aber sie können hypothetisch auch zur Verfolgung von Benutzern verwendet werden. Im schlimmsten Fall könnte ein Browser jeden Link, den Sie anklicken, direkt übermitteln, um gegen eine Blacklist geprüft zu werden – was ein umfassendes Protokoll Ihrer Internetaktivitäten erstellen würde, das mit Ihrer IP-Adresse verknüpft ist.
Soweit wir wissen, macht Safari so etwas nicht. Aber die Partnerschaft von Apple mit Tencent hat immer noch Befürchtungen geweckt, dass das massive Technologie- und Medienunternehmen das System missbrauchen könnte. Tencent betreibt eine Vielzahl von Apps in China, darunter den WeChat Messaging-Service und den QQ Browser. Und wie mehrere andere chinesische Unternehmen zensiert sie ihre Apps und hat angeblich Benutzerinformationen an die chinesische Regierung weitergegeben.
Apple hat CPORT eine weitere Beschreibung der Funktionsweise des Systems angeboten. Es besagt, dass Google und Tencent „eine Kopie der Datenbank an den Browser eines Benutzers senden und den Browser die URL gegen diese lokale Datenbank überprüfen lassen“, so dass der Datenverkehr diese Unternehmen nie wirklich erreicht. Es heißt auch, dass Tencent’s Blacklist nur innerhalb des chinesischen Festlandes verwendet wird, wo Google-Domains verboten sind.
Johns Hopkins Kryptograph Matthew Green malte jedoch ein komplexeres Porträt des Safe Browsing Systems. Er stellt fest, dass Google zum Beispiel auf ein komplexes Zusammenspiel zwischen der Blacklist und Safari angewiesen ist. Grundsätzlich hascht Google jede unsichere URL in einen Code, der sie nicht explizit identifiziert, und sendet Safari dann die ersten Abschnitte dieser Hashes, die als „Präfixe“ bezeichnet werden. Wenn ein Benutzer eine Webseite besucht, hastet Safari seine URL und überprüft das Präfix anhand seiner Liste. Wenn es eine Übereinstimmung gibt, fragt Safari Google nach allen Hashes, die dieses Präfix enthalten. Google liefert, und Safari überprüft diese kleinere Liste für eine vollständige Übereinstimmung – und markiert dann die Seite, wenn sie eine findet.
Das bedeutet, dass Google nie einen vollständigen URL-Hash sieht und in vielen Fällen überhaupt keine Informationen erhält. Wenn Safari jedoch ein passendes Präfix findet und Google nach weiteren Hashes fragt, zeigt es die IP-Adresse des Benutzers sowie einen Teilhash für die von ihm besuchte Seite an.
Wenn ein Blacklist-Anbieter wie Google in gutem Glauben arbeitet, bietet dies eine recht gute Privatsphäre – insbesondere im Hinblick auf die sehr realen Gefahren bösartiger Websites. Aber Green argumentierte, dass diese kleinen Informationen die Anonymität der Benutzer immer noch untergraben können, wenn sie Tag für Tag im Internet surfen. Wenn ein sicherer Browsing-Anbieter aktiv versucht, Personen zu verfolgen, könnte das ein Problem sein. Er kam nicht zu dem Schluss, dass Tencent das tut, aber es könnte es tun. Infolgedessen glaubt Green, dass Apple mehr Transparenz über die Tatsache hätte haben sollen, dass es mit dem Unternehmen zusammenarbeitet.
Normalerweise kann dies als ein kleiner Fehler von Apple angesehen werden. Schließlich arbeiten viele amerikanische Unternehmen mit Tencent zusammen. (Das Unternehmen führte Anfang des Jahres eine Finanzierungsrunde von 150 Millionen Dollar für Reddit durch und hat zuvor in den Fortnite Creator Epic investiert, neben vielen anderen Spieleunternehmen weltweit.) Und obwohl Chinas Regierung drakonischer und autoritärer ist als die Amerikas, haben Technologieunternehmen eine lange und beunruhigende Geschichte bei der Erfüllung von US-Anfragen zur staatlichen Überwachung. Google und Apple waren beide in PRISM verwickelt, das umfassende Webspionageprogramm der National Security Agency.
Aber die Nachricht kommt, da Apple wegen seiner sehr realen Zugeständnisse an die chinesische Regierung heftig kritisiert wird. Das Unternehmen begann im vergangenen Jahr damit, einige iCloud-Verschlüsselungscodes in China zu lagern, obwohl es befürchtet, dass sie dadurch anfällig für staatliche Beschlagnahmungen werden könnten. Vor kurzem wurde eine Mapping-App entfernt, die den Bewohnern Hongkongs half, polizeiliche Kontrollpunkte zu umgehen, während sie gegen prodemokratische Proteste vorging. Es versteckte auch das taiwanesische Flaggen-Emoji für iOS-Anwender in Hongkong oder Macau und verbot angeblich die Quartz-Nachrichten-App aus ihrem chinesischen App Store wegen der Protestabdeckung in Hongkong.
Darüber hinaus nutzt Apple oft den Datenschutz und die Sicherheit, um sich von anderen Technologieunternehmen zu unterscheiden. Die Kompromissbereitschaft in China war daher ein bemerkenswerter Schwachpunkt, der von Konkurrenten wie Facebook gerne genutzt wurde.
Die größere Geschichte hier handelt nicht von einem einzelnen Unternehmen. Es geht um die Schwierigkeit, sinnvolle Privatsphäre online zu bekommen, besonders wenn ein paar große Unternehmen einen Großteil des Internets kontrollieren. Es ist einfach, Tracking zu verurteilen, wenn es für gezielte Werbung oder ähnliche Geldverdienungsprogramme verwendet wird, aber diese zentralisierten Sicherheitssysteme sind unglaublich nützlich für jeden, der im Internet surft. Aber die Benutzer verstehen die Kompromisse, die sie eingehen, oft nicht – auch wenn diese Kompromisse gerechtfertigt sind, um ernsthafte Bedrohungen wie Phishing und Malware zu verhindern.