Mac-Apps telefonieren nach Hause: Apple streicht Opt-Out-Versprechen
Zur Signaturprüfung kontaktieren Mac-Apps einen Apple-Server – ein mögliches Datenschutzproblem. Entgegen Apples Versprechen lässt sich das nicht deaktivieren.
(Bild: Shutterstock)
Apple hat ein für macOS relevantes Datenschutzversprechen seit mehreren Jahren nicht umgesetzt – und jetzt still aus einem Support-Dokument entfernt. Mac-Nutzern fehlt immer noch eine Möglichkeit, die automatische Kontaktaufnahme zu Apple-Servern beim Starten von Programmen in den Einstellungen zu deaktivieren. Warum die versprochene Funktion nicht umgesetzt wurde, bleibt offen. Apple hat sich dazu bisher nicht geäußert. Die vor knapp drei Jahren von Apple angekündigte Opt-Out-Option ist bis einschließlich macOS 14 Sonoma nicht verfügbar.
Apps kommunizieren beim Start mit Apple-Server
Mac-Programme bauen beim Öffnen eine Verbindung zu Apples OCSP-Dienst (Online Certificate Status Protocol) auf. Dadurch wird überprüft, ob die zur Signierung der Software verwendete Entwickler-ID weiterhin gültig ist oder aber von Apple storniert wurde – eine wichtige Sicherheitsfunktion, um etwa das Ausführen von mit einer geklauten Entwickler-ID signierter Malware zu verhindern.
Größer bekannt wurde das im Herbst 2020, weil Apples OCSP-Server nicht erreichbar war und deshalb plötzlich Mac-Apps nicht länger starteten – außer man nahm den Mac vom Netz. Sicherheitsforscher und Entwickler monierten damals, dass Apple mit dieser Sicherheitsfunktion nicht nur Kenntnis über die Nutzungsgewohnheiten von Mac-Software erhält, sondern die Verbindung zudem unverschlüsselt erfolgt und damit auch Dritte theoretisch in der Lage sind, die Informationen leicht abzugreifen. Das könne es etwa autoritären Staaten durch den Zugriff auf Netzbetreiber ermöglichen, Nutzer unerwünschter Software zu finden.
Nur manuelle Blockade möglich
Apple räumte daraufhin ein, dass das Unternehmen im Rahmen der Funktion tatsächlich die IP-Adressen von Macs protokollierte und versprach, die Praxis zu stoppen und alle Informationen aus den Protokollen zu entfernen. Der Hersteller betonte, dafür "niemals" die Apple-ID oder eine Geräte-ID erfasst zu haben. Zudem stellte Apple die Verschlüsselung der OCSP-Verbindung in Aussicht, dies wurde auch zügig umgesetzt. Apple versprach obendrein "eine neue Möglichkeit für Benutzer, diese Sicherheitsmaßnahmen zu deaktivieren" – das fehlt bislang.
Diese Textpassage hat Apple nun aus der englischen Fassung des Dokumentes gestrichen, die deutsche Übersetzung zeigt die Passage bislang noch.
Nutzern bleibt die Option, die Verbindung zu Apples OCSP-Server ocsp2.apple.com manuell mit Dritt-Tools wie Little Snitch zu blockieren. Direkte Nebenwirkungen hat das gewöhnlich nicht, unter Umständen starten Apps leicht verzögert. Eine wichtige Sicherheitsfunktion des Betriebssystems wird dadurch aber außer Kraft gesetzt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(lbe)
