Sicherheitsforscher: Apples App-Store-Tracking mit iCloud-ID verknüpfbar
Anfang November zeigten Sicherheitsexperten auf, dass Apple Nutzeraktionen im App Store genau mitverfolgen kann. Jetzt legen sie mit neuen Erkenntnissen nach.
Deutsch-kanadische Sicherheitsforscher haben Hinweise gefunden, dass Apple die in der App-Store-App erhobenen Analysedaten mittels eines weiteren Identifikators auch mit der Apple-ID eines Nutzers verknüpfen könnte.
Anfang November hatten die Experten aufgezeigt, dass Apple Nutzeraktionen in der App-Store-App mitverfolgt und in Echtzeit an seine Server schickt. Nun teilte die Gruppe "Mysk" auf Twitter mit, dass die Analysedaten offenbar auch mit der Apple-ID der Nutzer in Verbindung gebracht werden können. Damit würde Apples Vorgehen eigenen Aussagen zum Datenschutz der Geräte-Analysedaten widersprechen, denen zufolge eine persönliche Zuordnung der Daten nicht möglich sei.
Was bislang bekannt war
Die beiden Forscher Tommy Mysk und Talal Haj Bakry hatten bereits für ihre ersten Entdeckungen, die Anfang November publik wurden, den Datenverkehr zwischen App Store und Apple mitverfolgt. Um an der sonst üblichen Verschlüsselung der Datenübertragungen vorbeizukommen, nutzten sie ein iPhone mit einer Jailbreak-Version von iOS 14.6. Auch wenn sie spätere iOS-Versionen nicht direkt überprüfen könnten, zeige sich doch ein Verbindungsverhalten, das darauf schließen lasse, dass Apple immer noch so vorgehe.
Apple schaue genau hin, wie Nutzer den App Store bedienen und übertrage die Daten als JSON an seine Server. Die Daten enthielten den Angaben zufolge Informationen, was Nutzer im App Store aufrufen, wie lange sie auf Seiten einzelner Apps verbleiben, sowie Daten über die verwendeten Geräte, Spracheinstellungen und Speicherplatz. Über die Session-ID könnten die Informationen miteinander in Verbindung gebracht werden.
Weitere ID entdeckt
Die jetzige Entdeckung dreht sich um eine ID namens "Directory Services Identifier" (dsId), die laut den Nachforschungen von "Mysk" Rückschlüsse auf den iCloud-Account eines Nutzers zulasse. Damit könnte Apple in der Theorie sogar die Analysedaten einzelnen Personen und ihren bei Apple gespeicherten Daten zuordnen. Die Sicherheitsforscher belegen das mit Bildschirmfotos, die Datenübertragungen zur API der iCloud zeigen. Dort taucht die "DSID" ebenfalls auf. Trotz unterschiedlicher Groß- und Kleinschreibung handele es sich um dieselbe Kennung.
Sammelklage in Kalifornien
In Kalifornien wurde laut dem US-Technikblog Gizmodo unterdessen eine Sammelklage gegen Apple eingereicht, die sich auf die Ausführungen der Experten zur Erhebung von Analysedaten in der App-Store-App stützt. Die Kläger werfen Apple vor, gegen kalifornische Datenschutzvorschriften zu verstoßen, indem es Analysedaten erhebt, obwohl das in den Einstellungen des iPhones deaktiviert wurde.
Kritik gibt es auch von Mitbewerbern. So zwingt die App Tracking Transparency (ATT) Entwickler dazu, das Einverständnis des Nutzers vor dem Datentracking einzuholen und auf Wunsch komplett zu unterlassen – die App-Store-App mache da hingegen keinen Unterschied, behaupten die Sicherheitsforscher.
Apple selbst hat sich bislang gegenüber Medien nicht zu dem Thema geäußert.
(mki)