von ,
Twittern 38 Teilen 40

[Update] Google trickste Safari-Datenschutzeinstellungen aus

Google und einige andere Werbefirmen haben sich über die Privatsphäre-Einstellungen von Apples Safari Browser hinweggesetzt, um das Surfverhalten von Nutzern zu tracken. Betroffen sind sowohl die Mobile- als auch die Mac-Version des Browsers.

Das Surfverhalten von Nutzern zu tracken ist keine Seltenheit, doch wenn dies gegen den ausdrücklichen Willen der Anwender geschieht, wird es problematisch. Eigentlich blockiert Safari standardmäßig Tracking-Cookies, die beispielsweise in auf Webseiten eingebundener Werbung verwendet werden, um einzelne Nutzer identifizieren zu können. Laut WSJ haben Google und weitere Werbeanbieter wie Pointroll, Vibrant Media und WPP einen Trick genutzt, diese Standardeinstellung im Apple-Browser zu umgehen.

Den Google-Code hatte Jonathan Mayer identifiziert, ein technischer Berater des WSJ konnte die Erkenntnisse von Mayer unabhängig bestätigen. Demnach installierten 22 der Top-100-Websites (nach Beliebtheit laut Quantcast), den Tracking-Code von Google bei der Mac-Version des Safari-Browsers, im iPhone-Safari waren es 23 Seiten.

safari sicherheitslücke wsj
Das Bild zeigt, wie Google die Safari-Sicherheitslücke ausnutzte, um ein Tracking-Cookie im Browser unterzubringen. Screenshot: WSJ.

Google ist sich keiner Schuld bewusst

Dabei nutzte Google eine Sicherheitslücke in den Privatsphäre-Einstellungen von Safari. Safari blockiert Tracking nämlich mit der Ausnahme von Websites, mit denen der Nutzer interagiert. Ein Beispiel für eine derartige Website ist das Ausfüllen einer Eingabemaske.

Google fügte einigen Online-Werbeanzeigen Code hinzu, der Safari vorgaukelte, dass der Nutzer eine unsichtbare Eingabemaske ausfüllt. Durch diese Hintertür konnte Google dann ein Cookie auf dem iPhone oder Computer des Nutzers installieren. Zwar waren diese Cookies lediglich 12 bis 24 Stunden gültig, aber aufgrund einer Lücke in Safari können Unternehmen, die bereits ein Cookie auf dem Gerät des Anwenders installiert haben, leicht weitere Cookies hinzufügen. Bei dieser Methode handelt es sich um eine bekannte Technik, über die Anant Garg aus Indien bereits vor zwei Jahren bloggte.

Obwohl Google den Code entfernte, nachdem das Unternehmen vom WSJ angesprochen wurde, wies der Konzern die Anschuldigungen zurück. Man habe sich eine bekannte Eigenschaft von Safari zu Nutze gemacht und auf diese Weise eingeloggten Anwendern Funktionen zur Verfügung gestellt, die sie selbst aktiviert hätten. Auch Vibrant Media ist sich keiner Schuld bewusst und äußerte gegenüber dem WSJ, dass man Safaris Verhalten lediglich dahingehend abgeändert hätte, dass sich der Apple-Browser verhält wie jeder andere auch. Apple will laut Wall Street Journal das Tracking durch Dritte unterbinden.

safari sicherheitslücke2 wsj
Eine Infografik des WSJ fasst den Sachverhalt rund um Google und Safari zusammen. Quelle: WSJ.

Apple und Google in der Kritik

Apple macht mit der Entdeckung des WSJ, dass Google und andere Unternehmen die Privatsphäre-Einstellungen von Safari umgehen, erneut Negativschlagzeilen hinsichtlich der Sicherheit privater Daten seiner Nutzer. Erst vor kurzem hatte ein Entwickler ein Datenleck bei der iPhone-App Path aufgedeckt, das auf die Übermittlung des vollständigen Adressbuchs abzielt. Daraufhin folgten weitere Enthüllungen rund um sicherheitskritische Apps wie der von Foursquare.

Aber auch Google gerät mit dem Tracking von Safari-Nutzern binnen kurzer Zeit erneut in die Kritik von Datenschützern. Im Januar hatte der Konzern angekündigt, seine Nutzungsbestimmungen überarbeiten zu wollen. Man wolle so gut wie alle Informationen, die man über seine Nutzer (inklusive YouTube, Googlemail und der Google Suche) habe, zentral zusammenfassen. Diese Ankündigung hatte international für Wirbel gesorgt, bisher allerdings ohne größere Konsequenzen. Die neuen Nutzungsbestimmungen sollen am 1. März in Kraft treten.

Fazit

Wer macht sich schuldig, wenn ein Einbrecher eine Wohnung ausräumt, deren Tür sperrangelweit offen steht? Der Wohnungseigentümer oder der Einbrecher? Diese Frage ist ähnlich müßig wie jene, ob nun Google oder Apple Schindluder mit der Privatsphäre der Nutzer treiben. Verantwortung tragen sicher sowohl Google und die anderen Werbeunternehmen als auch Apple selbst. Schließlich ist der in diesem Fall verwendete Trick schon seit mehr als zwei Jahren bekannt und hätte längst unterbunden werden können.

[Update 17:45 Uhr] Die Meldung war ursprünglich mit „Google spionierte Safari-Nutzer aus" übertitelt. Ein Google-Sprecher betonte gegenüber t3n.de, es seien keinerlei persönliche Informationen übermittelt worden. Von einer Spionage könnte darum keine Rede sein. Inzwischen hat Google in einer Pressemitteilung ausführlich zur Thematik Stellung genommen:

Das Wall Street Journal verzerrt den Sachverhalt und die Gründe. Wir haben eine bekannte Funktionsweise von Safari eingesetzt, um angemeldeten Google-Nutzern Features bereit zu stellen, die von ihnen zuvor aktiviert wurden. Es ist wichtig zu betonen, dass die angesprochenen Werbe-Cookies keine persönlichen Informationen erfassen.

Anders als andere populäre Browser blockiert Apple´s Safari Browser standardmäßig Cookies von Drittanbietern (“3rd Party Cookies”). Nichtsdestotrotz ermöglicht Safari seinen Nutzern Internet-Features zu nutzen, die von Drittanbietern bereitgestellt werden und auf 3rd Party Cookies angewiesen sind, wie beispielsweise “Like” Buttons. Letztes Jahr haben wir damit begonnen, diese Funktionsweise dafür einzusetzen, dass angemeldeten Google-Nutzern bei Safari personalisierte Anzeigen und andere Inhalte angezeigt werden können - wie beispielsweise die Möglichkeit, “+1” für Dinge zu geben, die sie interessieren.

Um diese Features zu ermöglichen, haben wir eine temporäre Verbindung zwischen Safari-Browsern und Google-Servern hergestellt, um feststellen zu können, ob ein Safari-Nutzer bei Google eingeloggt war und diese Art der Personalisierung zugelassen hat. Dies haben wir derart konzipiert, dass die Information zwischen Safari-Browsern und Google-Servern in anonymer Form erfolgte - und haben damit auf wirksame Weise die persönlichen Informationen der Nutzer von den Inhalten getrennt, die sie im Internet aufgerufen haben.

Der Safari-Browser beinhaltete jedoch eine Funktionsweise, die daraufhin auch das Setzen anderer Google Werbe-Cookies im Browser zulies. Damit haben wir nicht gerechnet, und wir haben jetzt damit begonnen, diese Werbe-Cookies aus Safari-Browsern zu entfernen. Es ist wichtig zu betonen, dass diese Werbe-Cookies keinerlei persönliche Informationen erfassen - genausowenig wie in anderen Browsern.

Nutzer des Internet Explorers, Firefox und Chrome waren von alledem nicht betroffen - ebenso wenig Nutzer sämtlicher Browser (inklusive Safari), die interessenbasierte Anzeigen mit dem Google Anzeigenvorgaben-Manager deaktiviert haben."

 

Weiterführende Links:

Bildnachweis für die Newsübersicht: Foto: AJC1 / flickr.com, Lizenz: CC-BY-SA

 

Weitere Artikel zu Google, Safari und Browser

Kommentare: 11 Tweets: 38 Facebook-Likes: 40
17.02.2012

Das interessiert dich bestimmt auch

11 Answers

  1. von Kevin Claus via facebook 17.02.2012 (12:35Uhr) 1.

    Ah... Schau mal an....

  2. von Dennis Like via facebook 17.02.2012 (12:39Uhr) 2.

    Selber schuld :)

  3. von John Wernicke via facebook 17.02.2012 (12:40Uhr) 3.

    Ach, die armen Safari-Nutzer…
    Wer nicht getrackt werden will, soll halt Javascript abschalten.

  4. von tina 17.02.2012 (12:44Uhr) 4.

    Hallo,

    ich finde es eine Sauerei, dass solche Methoden angewendet werden. Ich habe selbst einen Apple und bin ehrlich empört darüber, was sich Google u.ä. mal wieder leistet. Schlimm genug, dass die Datenschutzbestimmungen bei Google oft nicht die Besten sind, aber sich nun noch über Safari die Informationen zu holen geht gar nicht.

  5. von Christian Peters via facebook 17.02.2012 (12:44Uhr) 5.

    ... oder das Internet ausdrucken.

  6. von Daniel Zehle via facebook 17.02.2012 (12:57Uhr) 6.

    super genial!

  7. von Axel Sachmann via facebook 17.02.2012 (13:08Uhr) 7.

    Google verspielt so langsam aber sicher seine Vorteile.

  8. von Reinhardt Graetz via facebook 17.02.2012 (13:29Uhr) 8.

    Ach nee...! Und die anderen - die spionierten nicht...!? Aha... Jetzt brauchen wir nur noch einen, der das glaubt...

  9. von Jörg Schöneburg via facebook 17.02.2012 (14:02Uhr) 9.

    Aber alle regen sich über Facebook auf, Goolge ist doch viel schlimmer mit Datenspeichern und Nutzerverfolgen.

  10. von maryisdead 17.02.2012 (14:18Uhr) 10.

    Ich bin auch ehrlich empört!

  11. von Zack! Ein Google Chrome Nutzer weniger &… 04.03.2012 (19:58Uhr) 11.

    [...] Die letzten 12 Monate war ich gerne Google Chrome Nutzer. Bis auf ein paar Schwächen finde ich Chrome sehr angenehm zu benutzen. Leider muss ich als Chrome-Anwender davon ausgehen, dass von mir explizit gewählte “Privatsphären”-Einstellungen durch den Google Konzern missachtet werden. Wie sonst ist zu erklären, dass Google Sicherheitslücken in Browsern anderer Hersteller/Apple ausnutzt, um am expliziten Wunsch des Anwenders vorbei, dessen Surfverhalten zu tracken? Quellen dazu bei Stern, Tagesschau, Zeit und T3N. [...]

Deine Meinung


(wird nicht veröffentlicht)