Google: Apples Tracking-Schutz ermöglicht Verfolgung auf anderem Weg
Safaris Tracking-Schutz hat offenbar ernste Nachteile. (Foto: ymgerman / Shutterstock.com)
Mit Intelligent Tracking Protection (ITP) verfügt Apples Safari-Browser über ein System, das die Verfolgung durch Tracking-Cookies eingrenzen und so die Privatsphäre der Nutzerinnen und Nutzer schützen soll. Laut einem Paper mehrerer Sicherheitsexperten von Google funktioniert das aber nicht ganz so, wie Apple sich das vorstellt. Tatsächlich kann ITP offenbar sogar dafür missbraucht werden, das Surfverhalten von Safari-Usern auszuspionieren.
ITP setzt unter anderem auf ein Limit für Bilder oder Skripte, die beim Aufruf einer Website von einer anderen Website geladen werden. Wird das Limit überschritten, entfernt ITP relevante Cookies oder beschneidet Referrer-Informationen. So sollen Drittanbieter weniger Daten erhalten, um eine Nutzerin oder einen Nutzer identifizieren zu können.
Das Problem: Laut den Google-Forschern ist es möglich, künstlich das Limit für ausgewählte Domains zu erreichen. Anschließend können diese künstlich generierten Limit-Überschreitungen dafür genutzt werden, Rückschlüsse auf das Browsing-Verhalten zu ziehen. Statt dem Schutz vor Tracking wird aus dem System damit eine neue und ungewollte Möglichkeit zur Nutzeridentifikation.
Schon 2019 hatten die Google-Entwickler ihre Kollegen bei Apple über das Problem unterrichtet. Die hatten im Dezember desselben Jahres zwar mit Updates für Safari und iOS reagiert und öffentlich erklärt, man habe eine nicht näher definierte Sicherheitslücke geschlossen, laut einem Tweet des Chrome-Entwickler Justin Schuh ist das von seinen Kollegen bei Google entdeckte Problem aber nach wie vor vorhanden.
„Was die Abschwächung betrifft, so gibt es definitiv nützliche Dinge, die der Browser tun kann, um solche Lecks zu beheben (und Safari hat das getan). Aber es vollständig zu beheben, ist schwierig“, erklärt Artur Janc, einer der Autoren des Google-Papers, auf Twitter. Auch Schuh zweifelt daran, dass sich das Problem vollständig beheben lässt.
Das Problem dürfte aber auch das Chrome-Team nicht ganz loslassen. Google arbeitet unter der Bezeichnung Privacy Sandbox an einer Reihe von Ideen, die das Verlangen der Werbeindustrie nach zielgerichteter Werbung und den Datenschutzwünschen der User gerecht werden soll. Einer der Vorschläge nennt sich Privacy Budget und funktioniert ähnlich wie ITP. Laut Janc wird sich also auch Google mit der Frage auseinandersetzen müssen, wie das von ihm und seinen Kollegen erdachte Fingerprinting-Szenario bei einem solchen System verhindert werden kann.
Der Schlüssel zu deinem Unternehmenserfolg ist, deine Kund:innen zu verstehen. Lerne in unserem Guide, wie du mit Customer Insights erfolgreicher wirst!
Jetzt lesen!
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team