Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Studie: Anti-Tracking in iOS hält nicht, was Apple verspricht

iPhone- und iPad-Besitzer haben seit einigen Monaten die Möglichkeit, Apps das Sammeln persönlicher Daten zu verweigern. Das von Apple mit iOS 14.5 eingeführte Datenschutzfeature namens "App Tracking Transparency" (ATT) sorgte bei etlichen Anbietern wie etwa Facebook für Verstimmung, da diese ihr auf individualisierter Werbung basierendes Geschäftsmodell in Gefahr sahen. Die Nutzer von Smartphones und Tablets aus Cupertino hingegen begrüßen die Maßnahme offenbar, denn die überwältigende Mehrheit untersagt Anwendungen das Tracking.


Tracking-Verhalten populärer Apps analysiert
"App Tracking Transparency" sorgt allerdings angeblich nicht für verbesserten Datenschutz. Zu diesem Ergebnis kommen zumindest die Experten von Lockdown Privacy. In einer von der Washington Post unterstützten Studie analysierten sie beispielhaft das Verhalten von zehn populären Apps wie etwa Yelp, Telegram und Starbucks jeweils mit ein- und ausgeschalteter ATT. Dabei bedienten sie sich der von ihnen entwickelten kostenlosen und quelloffenen iOS-Firewall, welche ebenfalls Lockdown Privacy heißt ( App Store). Diese ist unter anderem in der Lage, bekannte Tracker aufzuspüren und zu blockieren.

Anti-Tracking ohne nennenswerte Auswirkungen
Das Ergebnis der Analyse war ebenso eindeutig wie ernüchternd: Die Aktivierung von "App Tracking Transparency" hatte bei keiner der untersuchten Apps nennenswerte Auswirkungen. Unabhängig davon, ob das Datenschutzfeature ein- oder ausgeschaltet war, bleib die Anzahl der von den jeweiligen Anwendungen genutzten Tracker stets gleich. Lediglich die Häufigkeit des Aufbaus von Verbindungen für die Datenübermittlung ging geringfügig zurück. Zudem erfolgte selbst dann eine Übertragung persönlicher Dateien und Geräteinformationen, wenn die Option "Apps erlauben, Tracking anzufordern" deaktiviert war.

Apples Maßnahme basiert auf Vertrauen
ATT ist nach Ansicht von Lockdown Privacy folglich "funktional nutzlos". Ursache hierfür ist den Experten zufolge die Art und Weise, wie Apple das Datenschutz-Feature implementiert hat. Es basiere auf dem Vertrauen, so die Studie, dass App-Entwickler die Einstellung und somit die vom jeweiligen Nutzer getroffene Entscheidung respektierten. Der iPhone-Konzern kontrolliere das allerdings nicht oder zumindest nicht in ausreichendem Maße. Zudem gebe es für Softwareanbieter keinen Anreiz, sich regelkonform zu verhalten, wenn alle Mitbewerber weiterhin lügen könnten. Apple erklärte gegenüber der Washington Post, man kontaktiere Entwickler, wenn man feststelle, dass diese sich nicht an die ATT-Einstellung der Gerätenutzer hielten. Sollten sie ihre App dann nicht an die Regeln anpassen, werde diese aus dem iOS App Store entfernt.

Kommentare

lautsprecher06.10.21 16:32
Bin ich der einzige, der den Eindruck hat, dass Apple in letzter Zeit mehr heiße Luft als sonst produziert?
+23
Oli198006.10.21 16:36
Verwirrt bin ich auch irgendwie 🤨
+2
Mecki
Mecki06.10.21 16:54
Es kann nur auf Vertrauen basieren. Wie bitte will ein Betriebssystem Tracking unterbinden? Zugriff auf die Geräte ID und die MAC Adresse hat Apple doch schon lange unterbunden. Apps bekommen doch nur noch eine Anbieter ID und die kann der Nutzer jederzeit resetten. Die technischen Möglichkeiten sind damit ausgereizt.

Das ist wie wenn ich auf eine Webseite gehe und dort gefragt werde, ob ich Tracking erlauben will. Wenn ich sage nein, dann muss ich auch darauf vertrauen, dass die Seite mich nicht trackt, aber wissen oder verhindern kann ich das nicht. Sie mag zwar kein Cookie setzen, aber man kann auch ohne Cookie tracken. Weiß ich also ob sie das tut? Nein, weiß ich nicht. Ich weiß nur, dass ich ausgewählt habe, dass ich das nicht will, aber ob sie sich jetzt auch daran hält, das kann ich nicht wissen und ich kann es auch nicht nachprüfen.

Und das kann Lockdown Privacy auch nicht, denn die Daten, die Apps senden, sind meistens verschlüsselt und selbst wenn sie die Verschlüsselung haben knacken können, können sie nicht wissen, ob diese Daten zum Tracking verwendet werden. Der Nutzer hat der App Tracking verboten, er hat der App nicht verboten Daten an einen Tracking Server zu senden. Solange kein Tracking gemacht wird, hält sich die App an die Vorgabe und gegenteiliges gilt es zu beweisen. Auch Apple kann das nicht kontrollieren, dazu müssten sie den Server Code der Tracking Server sehen.

Alleine schon die Definition von Tracking Server ist hier das Problem. So hat Lockdown Privacy schon oft behauptet, Apps würden tracken, weil sie Daten an MS AppCenter schicken und ja, man kann über MS AppCenter Nutzer tracken. Die meisten Apps jedoch nutzen nur deren Crash Report Service, um von abstürzen ihrer App zu erfahren und diese zeitnah beheben zu können. Mit Tracking hat das dann nichts zu tun, weil die Crash Daten sind anonymisiert, damit kann man niemand tracken und nur weil deren SDK also beim App Start mit diesem Server spricht hat das noch lange nichts mit Tracking zu tun, was Lockdown Privacy aber immer annimmt, wenn irgendwer etwas an diesen Server schickt. Man kann also aus "Da wurde was gesendet" nicht auf Tracking schließen, man muss schon genau wissen was dort gesendet wurde und was der Server damit macht und ersteres weiß Lockdown Privacy meistens nicht und letzteres weiß Lockdown Privacy nie.
+25
Oli198006.10.21 17:05
Gute Erklärung, danke 😊
+2
bmac
bmac06.10.21 18:22
"blöde" aber auch, wenn sich das Fachkundige nun einmal genau anschauen.
Der Artikel vom Sommer zu "https://www.mactechnews.de/news/article/Nur-33-Prozent-der-iOS-Nutzer-stimmen-Ad-Tracking-zuWerbepreise-fallen-178006.html" sagt doch ziemlich genau aus was die iOS Benutzer wollen: ihre Privatspäre.
+2
cps06.10.21 19:59
Mecki
Es kann nur auf Vertrauen basieren.

Das hat doch die Werbebranche längst verspielt.
+6
tk69
tk6906.10.21 20:15
Mecki

Danke für die aufschlussreiche Erklärung ohne dass ich es prüfen kann.
Dennoch ist es erstaunlich, was die App Lockdown noch herausfiltert.
+1
cps06.10.21 20:21
Mecki
(…) können sie nicht wissen, ob diese Daten zum Tracking verwendet werden. Der Nutzer hat der App Tracking verboten, er hat der App nicht verboten Daten an einen Tracking Server zu senden. Solange kein Tracking gemacht wird, hält sich die App an die Vorgabe und gegenteiliges gilt es zu beweisen.

Es gibt bestimmt viele gute Gründe um Daten an Server zu schicken, die von Firmen betrieben werden, deren Geschäftsmodell es ist, den User zu tracken, außerhalb von Tracking natürlich.
+1
Colonel Panic
Colonel Panic06.10.21 20:29
Mecki
Es kann nur auf Vertrauen basieren.

Dann wird es nie funktionieren.
Mecki
Wie bitte will ein Betriebssystem Tracking unterbinden?

Zum Beispiel mit Filterlisten, wie es Adblocker im Browser schon seit Jahren machen?
+4
Wurzenberger
Wurzenberger06.10.21 20:31
Mecki
Es kann nur auf Vertrauen basieren. Wie bitte will ein Betriebssystem Tracking unterbinden?
Zugriff auf die Trackingserver unterbinden. Schaffen andere seit Jahren.
+1
Huba06.10.21 23:14
Ein Raspi mit Pihole kann wahre Wunder bewirken
-1
tjost
tjost07.10.21 09:13
Nun kann man auch gemein sein und den „Experten „ unterstellen sie schüren Angst damit man die App kauft.
Denn umsonst kann man die App nur laden. In App Käufe sind vorhanden. VPN Subskription

Ich Trau den Leuten nicht mehr. Egal welchen sogenannten Experten
+2
solemnis07.10.21 10:29
tjost
Nun kann man auch gemein sein und den „Experten „ unterstellen sie schüren Angst damit man die App kauft.
Denn umsonst kann man die App nur laden. In App Käufe sind vorhanden. VPN Subskription

Ich Trau den Leuten nicht mehr. Egal welchen sogenannten Experten

Nun kann man auch gemein sein und den "Apple-Experten" unterstellen, sie schüren Vertrauen, damit man das iPhone kauft.

Mecki
Es kann nur auf Vertrauen basieren....

Du bist der feuchte Traum eines jeden Herstellers:
Ein Anwender, der sich die mangelhafte Funktion eines Produkts schön argumentiert.
+2
Stefan S.
Stefan S.07.10.21 13:11
tjost
Nun kann man auch gemein sein und den „Experten „ unterstellen sie schüren Angst damit man die App kauft.

Ich Trau den Leuten nicht mehr. Egal welchen sogenannten Experten
Ja, das nervt, dass man das immer dazu denken muss.

Aber, in diesem Fall: Du kannst das installieren und sehen, was da alles angefunkt wird. Du musst Dich also nicht auf deren Aussagen verlassen.
0
Stefan S.
Stefan S.07.10.21 13:16
Mecki
Dann ist das Versprechen haltlos, das Apple gegeben hat und sie müssen es anders implementieren/kontrollieren.
Sie könnten mit Listen arbeiten oder so was wie Lockdown von Haus aus anbieten.
Oder nur vom User genehmigte Verbindungen werden zugelassen.
Und für Crash-Report kann Apple ja einen Service für die App-Anbieter anbieten: Daten an crashreport.apple.com, und Apple bekommt das Recht auf Entschlüsselung. Sind es Crash-Daten iszt das ok., wenn nicht raus aus dem Appstore.
+1
Mecki
Mecki07.10.21 21:12
Stefan S.
Dann ist das Versprechen haltlos, das Apple gegeben hat
Was Apple getan hat ist einfach nur eine Einstellung im System einzubauen, über die der Nutzer den Apps auf dem System mitteilen kann, ob er damit einverstanden ist, dass sie ihn tracken oder nicht. Wenn also eine App wissen will, ob der Nutzer damit einverstanden ist, dann kann sie das jetzt erfahren, indem sie diese Einstellung abfragt. Hat der Nutzer hier bislang noch nichts eingestellt, dann kommt ein Dialog und fragt ihn. D.h. kein Anbieter kann sich jetzt mehr heraus reden und sagen "Wir wussten ja nicht, ob der Nutzer getrackt werden will oder nicht", dann das wissen sie eben sehr wohl.

Im Grunde hat Apple in iOS das verankert, was das W3C eigentlich mit dem DNT (Do Not Track) Header in HTTP erreichen wollte und das alle Cookie Banner komplett unnötig gemacht hätte Auch hier ging es nur darum das dem Server mitzuteilen.

Wenn eine App dich gegen deinen ausdrücklichen Wunsch trackt, dann ist das ein Verstoß gegen die DSGVO und kann ganz ohne Apple geahndet werden. Apple zwingt die App Anbieter, dass sie diese Einstellung abfragen müssen, bevor sie tracken, somit ist sichergestellt, dass ihnen der Wunsch mitgeteilt wurde und sich über diesen Wunsch hinweg zu setzen ist damit als klarer Verstoß zu ahnden. Das muss aber nicht Apple machen. Das kann auch dein Datenschutzbeauftragter machen oder du kannst auch direkt das Unternehmen auf Unterlassung verklagen. Unternehmen navigieren sich also in massive rechtliche Probleme, wenn sie hier deinen Wunsch ignorieren, daher halte ich es für sehr fragwürdig, dass das bei großen Namen wirklich der Fall ist. Facebook z.B. wäre schön dämlich, das nicht zu beachten.

Einen echten Beleg für ein Tracking habe ich hier noch keinen gesehen, nur Indizien. Dass Lockdown Privacy irgendwelche Datenverbindungen zu irgendwelchen Servern gesehen hat, sagt überhaupt nichts aus. Einige davon konnten sie nicht mal entschlüsseln und haben keine Ahnung, was da gesendet wird. Und ein Trackingverbot ist kein kein Verbot mit einem bestimmten Server oder Dienst zu reden und es ist auch kein Verbot bestimmte Nutzerdaten zu senden, wie manch einer vielleicht glaubt. Es ist nur ein Verbot diese Daten zu verwenden, um gezielt einen Nutzer über Sitzungen hinweg, über App-Grenzen hinweg oder zwischen Apps und Webseiten identifizieren und ein Profil über diesen Nutzer aufzubauen. Nur wenn du belegen kannst, dass das auch wirklich passiert, hast du einen Verstoß belegt. Und das ist aber sehr schwer zu belegen und vor genau diesem Problem steht auch Apple.

Technisch verhindern kann man Tracking nur, indem man Netzwerkzugriff unterbindet. Aber wie will das System legitimen von illegitimen Zugriffen unterscheiden? Selbst wenn Apple sagt jede App darf nur mit einer einzigen Domain kommunizieren, was hindert mich auf diesen Server die Daten dann weiterzuleiten? Sobald also eine App irgendwo hin kommunizieren kann, kann sie überall hin kommunizieren. Hier gibt es nur gar kein Netz oder Netz, alles andere ist nicht wirklich sinnvoll auf Dauer. Und die meisten Apps haben aber legitime Gründe warum sie ein Netz brauchen, einige können ohne Netz gar nichts sinnvolles tun oder darstellen.

Und sobald ich ein Netz habe, kann ich tracken, selbst wenn ich an keinerlei Info im System komme. Dann erstelle ich halt eine UUID, speichere die in eine Datei und sendet die jedes mal irgendwo versteckt in legitimen Anfrage mit, das reicht schon aus, damit der Server weiß "Ah, das ist der gleich Nutzer der gestern noch nach X gesucht hat". Apple könnte also den Zugriff auf alles im System sperren, solange ich irgendwo hin Daten senden kann und 16 Byte Daten irgendwo speichern kann, kann ich auch tracken. Zwar nur innerhalb meiner App und zwischen App Sitzungen, aber auch das ist schon tracking und auch damit kann man schon ein Profil des Nutzers bauen.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.