E-Mail-Privatsphärenschutz: Apple hebelt sich selbst aus – per Uhr
Die neue Funktion ist unter macOS, iOS und iPadOS verfügbar, wurde auf der Apple Watch allerdings schlicht vergessen. Das kann zur IP-Offenlegung führen.
Die Apple Watch als Datenschutzbrecher.
(Bild: Apple)
Eine neue Apple-Datenschutzfunktion in iOS 15 wirkt nicht, wenn der Nutzer eine Apple Watch mit seinem iPhone gekoppelt hat und darüber E-Mails empfängt. Das ist einem kanadisch-deutschen iPhone-Entwickler-Team aufgefallen, das die sogenannte Mail Privacy Protection auf Herz und Nieren getestet hat. Dabei zeigte sich, dass Apple den Dienst, der eigentlich IP-Adressen von E-Mail-Nutzern vor Tracking schützen soll, unter watchOS 8 offenbar schlicht vergessen wurde.
Die IP des Nutzers sickert durch
"Achtung", schreibt das Team Mysk auf Twitter. "Die Mail-Privacy-Protection, die in iOS 15 eingeführt wurde, betrifft nicht die Mail-App auf der Apple Watch." Sowohl die dort vorhandene native E-Mail-Anwendung von Apple als auch die Benachrichtigungsvorschau für neue E-Mails auf der Computeruhr laden demnach entfernte Inhalte – und zwar mit der echten IP-Adresse des Nutzers.
iOS 15, iPadOS 15 und macOS 12 kommen in Mail mit einer Funktion, die Tracking-Pixels, auch Webbugs genannt, mit verschiedenen Tricks den Garaus machen soll. Lädt man Inhalte wie Bilder in Mails nach, werden üblicherweise auch die Webbugs mitgeladen, was Unternehmen dann erlaubt, zu überwachen, ob Mails geöffnet wurden und von welcher IP-Adresse. Apple integriert künftig eine Art Proxy als Zwischenschritt; die Original-IP-Adresse wird standardmäßig versteckt. Zuvor konnte man das Laden der Bilder nur komplett abdrehen und händisch laden – dann jedoch mit der eigenen IP, sollte man dafür nicht extra ein VPN aktivieren.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Eigentlich praktisch
Das gilt jedoch wie von Team Mysk herausgefunden nicht für Apples Computeruhr. Damit wird das gesamte Sicherheitsmodell von Mail Privacy Protection ausgehebelt, wenn man auch watchOS-Nutzer ist. Auf der Uhr landen normalerweise auch alle Mails, sollte man die Funktion freigegeben beziehungsweise nicht abgedreht haben. Wer Mail samt Benachrichtigungen zu neuen Mails auf seiner Apple-Smartwatch nutzen will, muss also aktuell mit Tracking leben.
Apple hat sich bislang nicht zu der Problematik geäußert – auch bleibt unklar, wie es zu dem Fehlen der Funktion kam. In den normalen Mail-Clients ist es mit aktuellen Betriebssystemen durch eine Proxy-Funktion unmöglich, etwa zu überwachen, ob eine E-Mail geöffnet, wie oft und wie lange sie gelesen und ob sie weitergeleitet wurde. Apple schickt an die Absender stets nur generische IP-Adressen, die aus der ungefähren Region der Nutzer stammen.
[Update 17.11.21 18:22 Uhr:] Neben dem fehlenden Mail-Privatsphärenschutz unterstützt watchOS 8 auch Apples neue iCloud-Private-Relay-Funktion nicht, wie Mysk ebenfalls entdeckt hat. (bsc)
