Gegen Fingerprinting: iOS-Entwickler müssen API-Nutzung begründen
Apple schreibt für die Verwendung bestimmter Schnittstellen bald zwingend vor, dass Apps ihre Gründe dafür nennen. Das soll Missbrauch verringern.
(Bild: natmac stock / Shutterstock.com)
Apple hat eine Liste mit Programmierschnittstellen (APIs) veröffentlicht, die App-Entwickler künftig nur noch mit Begründung verwenden dürfen. Wichtige APIs lassen sich zur Erfassung von "Gerätesignalen" missbrauchen, um so einzelne Geräte oder Nutzer identifizieren zu können, heißt es in Apples Entwicklerdokumentation. Ein solches "Fingerprinting" ist iOS-Apps von Apple generell untersagt – und zwar auch dann, wenn Nutzer dem Werbe-Tracking zustimmen.
API-Begründung ab Frühjahr 2024 vorgeschrieben
Liefert der Entwickler oder App-Anbieter keine Begründung für die Verwendung der Schnittstelle in seiner Software, wird Apple ihn ab Herbst darauf hinweisen. Ab Frühjahr 2024 werden Apps und App-Updates ohne entsprechende Angaben dann von Apple abgelehnt und können somit nicht für iPhones und iPads veröffentlicht werden.
Zu den begründungspflichtigen Schnittstellen zählen "File timestamp APIs" – also Zugriffe etwa auf das Erstellungs- und Bearbeitungsdatum von Dateien – sowie die Uptime des Betriebssystems. Auch die Verwendung von Apples "Disk Space APIs" zur Erfassung des verfügbaren Speicherplatzes müssen künftig begründet werden ebenso wie Zugriffe auf die Liste installierter Tastaturen. Die von vielen Apps verwendete API "NSUserDefaults" wird ebenfalls begründungspflichtig, das ist eine Standarddatenbank, um etwa vom Nutzer vorgenommene App-Einstellungen zu speichern. Für all diese Schnittstellen gibt Apple jeweils mögliche Gründe für die Verwendung vor und schließt dabei bestimmte Dinge gleich mit aus – etwa das Übertragen von Daten auf einen Server.
Apple geht auch gegen neugierige SDKs vor
Entwickler müssen dabei nicht nur für den eigenen Code offenlegen, aus welchem Grund sie auf eine der Schnittstellen zugreifen, sondern auch für eingebetteten Code in Form gängiger SDKs von Drittanbietern. Für solche SDKs hat Apple die Vorgaben bereits deutlich verschärft. Bestimmte von Apple als problematisch eingestufte SDKs müssen künftig in einem Datenschutz-Manifest ihre Datensammelpraxis offenlegen. Die Liste solcher "privacy-impacting SDKs" hat das Unternehmen noch nicht veröffentlicht.
(lbe)