Safari: Google nennt Details zur Lücke in Apples Trackingschutz
Die "Intelligent Tracking Prevention" im Apple-Browser war Forschern des Suchriesen zufolge angreifbar und konnte zum Absaugen privater Daten genutzt werden.
Safari auf verschiedenen Plattformen.
(Bild: Apple)
Zu den Topfunktionen der aktuellen Version des Apple-Browsers Safari unter iOS, iPadOS und macOS zählt die sogenannte ITP. Mit der "Intelligent Tracking Prevention" sollen Versuche von Werbeanbietern, Nutzer über diverse Websites zu verfolgen, unterbunden werden. Allerdings befanden sich in dem Feature mehrere Sicherheitslücken, die eine Nutzerüberwachung sogar vereinfachten. Ausgerechnet Forscher von Google hatten diese aufgedeckt, was Apple im Dezember zu Sicherheitsupdates veranlasste.
Umfassende Fehler in ITP
Der Suchriese wollte damals allerdings keine Details zu den Problemen nennen. Sie wurden nur gegenüber Apple kommuniziert, wo in mehreren Monaten an einem Fix gearbeitet wurde. Nun steht Google kurz davor, im Rahmen seiner Disclosure-Politik bei Sicherheitslücken eine erste Veröffentlichung vorzunehmen. Wie die Financial Times berichtet, ist das entsprechende Paper bereits fertig und werde "in naher Zukunft" im Web publiziert. Google hat es allerdings bereits mit einigen Sicherheitsforschern geteilt. Die teilten in einer ersten Reaktion mit, dass ITP umfassende Fehler gehabt haben soll.
So meint Lukasz Olejnik, ein Datenschutzexperte, der die Google-Unterlagen kennt, dass es insgesamt fünf potenzielle Angriffe gibt, die sich ausnutzen lassen. Wenn dies geschieht, "würde dies ein unsanktioniertes und nicht zu kontrollierendes Nutzertracking erlauben", sagte er der FT. Er verlieh seiner Verwunderung Ausdruck. "Probleme in Mechanismen, die den Schutz der Privatsphäre verbessern sollen, sind unerwartet und hochgradig kontraintuitiv."
Unauslöschliche Fingerabdrücke
Laut der Google-Forscher sorgt die Liste, die ITP anlegt, für die stillschweigende Speicherung von Informationen über die Websites, die die Nutzer besuchen. Angreifer könnten zudem einen "unauslöschlichen Fingerabdruck" anlegen, der den Nutzer durch das ganze Web verfolgen kann – inklusive der Nutzung von Suchmaschinen.
Apple hatte mit ITP in der Werbebranche für Aufregung gesorgt. Schon zuvor hatte Safari Third-Party-Cookies zum einfachen Tracking standardmäßig unterbunden. Im Sommer warnte das WebKit-Team des Konzerns zudem Reklametreibende davor, ITP zu umgehen. (bsc)
