Safaris Tracking-Schutz hat offenbar ernste Nachteile. (Foto: ymgerman / Shutterstock.com)
Mit Intelligent Tracking Protection (ITP) verfügt Apples Safari-Browser über ein System, das die Verfolgung durch Tracking-Cookies eingrenzen und so die Privatsphäre der Nutzerinnen und Nutzer schützen soll. Laut einem Paper mehrerer Sicherheitsexperten von Google funktioniert das aber nicht ganz so, wie Apple sich das vorstellt. Tatsächlich kann ITP offenbar sogar dafür missbraucht werden, das Surfverhalten von Safari-Usern auszuspionieren.
ITP setzt unter anderem auf ein Limit für Bilder oder Skripte, die beim Aufruf einer Website von einer anderen Website geladen werden. Wird das Limit überschritten, entfernt ITP relevante Cookies oder beschneidet Referrer-Informationen. So sollen Drittanbieter weniger Daten erhalten, um eine Nutzerin oder einen Nutzer identifizieren zu können.
Das Problem: Laut den Google-Forschern ist es möglich, künstlich das Limit für ausgewählte Domains zu erreichen. Anschließend können diese künstlich generierten Limit-Überschreitungen dafür genutzt werden, Rückschlüsse auf das Browsing-Verhalten zu ziehen. Statt dem Schutz vor Tracking wird aus dem System damit eine neue und ungewollte Möglichkeit zur Nutzeridentifikation.
Chrome-Entwickler: Das Problem komplett zu beheben, wird schwierig
Schon 2019 hatten die Google-Entwickler ihre Kollegen bei Apple über das Problem unterrichtet. Die hatten im Dezember desselben Jahres zwar mit Updates für Safari und iOS reagiert und öffentlich erklärt, man habe eine nicht näher definierte Sicherheitslücke geschlossen, laut einem Tweet des Chrome-Entwickler Justin Schuh ist das von seinen Kollegen bei Google entdeckte Problem aber nach wie vor vorhanden.
„Was die Abschwächung betrifft, so gibt es definitiv nützliche Dinge, die der Browser tun kann, um solche Lecks zu beheben (und Safari hat das getan). Aber es vollständig zu beheben, ist schwierig“, erklärt Artur Janc, einer der Autoren des Google-Papers, auf Twitter. Auch Schuh zweifelt daran, dass sich das Problem vollständig beheben lässt.
Das Problem dürfte aber auch das Chrome-Team nicht ganz loslassen. Google arbeitet unter der Bezeichnung Privacy Sandbox an einer Reihe von Ideen, die das Verlangen der Werbeindustrie nach zielgerichteter Werbung und den Datenschutzwünschen der User gerecht werden soll. Einer der Vorschläge nennt sich Privacy Budget und funktioniert ähnlich wie ITP. Laut Janc wird sich also auch Google mit der Frage auseinandersetzen müssen, wie das von ihm und seinen Kollegen erdachte Fingerprinting-Szenario bei einem solchen System verhindert werden kann.
Der Schlüssel zu deinem Unternehmenserfolg ist, deine Kund:innen zu verstehen. Lerne in unserem Guide, wie du mit Customer Insights erfolgreicher wirst!
Jetzt lesen!