Der Apple Account, früher Apple-ID genannt, hat für Nutzer von Macs, iPhones et cetera eine hohe Bedeutung. An die bei Apple registrierte Kombination aus E-Mail-Adresse und Kennwort sind sämtliche digitalen Käufe im Apple-Ökosystem geknüpft, von iTunes Music bis zum App Store. Dementsprechend meldet sich jeder Nutzer mit mindestens einem Apple Account auf allen persönlichen (und oft auch dienstlichen) Geräten an. Wenn diese Information für andere Apps auslesbar ist, sind Nutzer geräteübergreifend trackbar. Dies war in iOS 18.6 möglich, entdeckte die Sicherheitsforscherin Rosyna Keller. In einem Blog-Beitrag berichtet sie, wie Apple den Fehler erst ignorierte, dann aber doch behob. Dafür gab es zwar eine Erwähnung in den Sicherheitsanmerkungen, jedoch keine finanzielle Entlohnung.


In einer Code-Analyse fiel ihr eine Ressource namens com.apple.atc auf. Diese ist dem Framework AirTrafficDevice zugeordnet. Darüber synchronisieren iPhones und iPads Medien, Dokumente und Daten mit Macs (oder PCs). Innerhalb dieser Ressource waren einige identifizierbare Informationen versammelt. Neben den Namen gekoppelter Rechner und Zahl sowie Umfang vorhandener Medien taucht hier auch die DSID auf, eine Apple-Account-spezifische Identifikationsnummer. Diese bleibt stets unverändert für einen Apple Account. In com.apple.atc sind DSIDs sämtlicher Apple Accounts gespeichert, die auf dem Gerät genutzt werden, etwa für Apps, Cloud-Dienste, Streaming-Abos, gekaufte Filme oder iTunes-Musik aus den Zeiten, als diese noch DRM-geschützt war.

Unbeschränkter Zugriff
Für die Synchronisierung mit einem Rechner sind dies tatsächlich auch relevante Informationen. Doch stellte Keller fest, dass diese Ressource keinerlei Zugriffsbegrenzung unterlag. Jede App kann mittels einer entsprechenden Abfrage auf Rechnernamen, Mediengröße und vor allem Apple-Account-spezifische DSIDs zugreifen. Dies ermöglicht es App-Entwicklern, Nutzer geräteübergreifend wiederzuerkennen und so ein persönliches Profil zu erzeugen. Und das, obwohl Apple mit seinem Programm „App Tracking Transparency“ Wert darauf legt, dass Nutzer die Wahl haben sollen, ob sie einer App erlauben wollen, sie zu tracken.

Erste Reaktion: „Not to be fixed“
Innerhalb kürzester Zeit, berichtet Rosalyn Keller, wurde ihr Fehlerbericht geschlossen – Apple hatte nicht vor, den Fehler zu beheben. Erst nach einigem Nachhaken nahmen sich Apples Entwickler ihrer Meldung wieder an, um sie schließlich sowohl in iOS 26 als auch in iOS 18.7 zu beheben. In den Sicherheitshinweisen zu iOS 26 findet Keller insgesamt dreimal Erwähnung. Diese Meldung, welche unter „Sandbox Profiles“ erscheint, wird allerdings nicht mit einer Prämie entlohnt: Da Apple dieser Lücke keine CVE-Nummer zugewiesen hat, erhält sie keine Auszahlung gemäß dem Security Bounty Program. In den Sicherheitshinweisen zu iOS 18.7 erwähnt Apple die Lücke nicht, doch scheint sie dort ebenfalls behoben – die Sicherheitsforscherin konnte die CSID nach dem Update nicht mehr auslesen.