watchOS 8.5 stopft Privacy-Lücke
Apples Mail-Datenschutz ließ sich über die Computeruhr aushebeln. Das soll nun nicht mehr gehen.
Apple hat mit dem am Montag erschienenen Update auf watchOS 8.5 auch eine problematische Sicherheitslücke bei der sogenannten Mail Privacy Protection behoben. Diese hatte dazu geführt, dass eine in iOS 15, iPadOS 15 und macOS 12 eingeführte Apple-Mail-Funktion zur Verbesserung der Privatsphäre von Nutzern mittels der Computeruhr Apple Watch ausgehebelt werden konnte.
Computeruhr gab sich plauderhaft
Mit Mail Privacy Protection (MPP), auf Deutsch auch unter dem Begriff "E-Mail-Privatsphärenschutz" bekannt, sollen nachgeladene Bildinhalte und sogenannte Webbugs (Tracking-Pixel) in Nachrichten nicht mehr dazu führen, dass Nutzer leicht getrackt werden können. Deren Bezug wird über Apples Server abgewickelt, was die IP-Adresse des Users verschleiert – und das auch zu unterschiedlichen Zeiten, so dass sich das Öffnen einer E-Mail nicht mehr so einfach überwachen lässt.
Besitzt der Nutzer jedoch eine Apple Watch, war MPP bislang ausgehebelt. Sowohl die dort vorhandene native E-Mail-Anwendung von Apple als auch die Benachrichtigungsvorschau für neue E-Mails auf der Computeruhr luden zuvor entfernte Inhalte – und zwar mit der echten IP-Adresse des Nutzers. Das hatte ein kanadisch-deutsches iPhone-Entwickler-Team festgestellt und öffentlich gemacht.
Nutzer darf entscheiden
Mit watchOS 8.5 soll dieser Fehler nun offenbar behoben sein. Das Team Mysk, Entdecker der Lücke, probierte es selbst aus. Laut seinen Angaben auf Twitter leakt das Betriebssystem nun nicht mehr die IP-Adresse. Dazu warnt die Apple Watch mit einer Meldung: Entfernte Inhalte aus Mails werden nicht mehr automatisch geladen, der Nutzer muss dies selbst genehmigen und kann sich auch entscheiden, ob dies dauernd erfolgt.
Allerdings scheint damit MPP auf der Uhr immer noch nicht korrekt umgesetzt zu sein: Wählt man "direkt laden" auf der Watch, wird die IP-Adresse des Nutzers verwendet. Ob Apple plant, MPP vollständig auch auf der Computeruhr umzusetzen, bleibt unklar. Da die Apple Watch jedoch selten als "richtiges" E-Mail-Werkzeug verwendet wird, ist dies einigermaßen verzeihlich – wichtiger war es, dass die E-Mail-Vorschau IPs nicht mehr leakt, ohne dass Nutzer dies verhindern könnten. Empfehlenswert ist, die Funktion der Abfrage beizubehalten. Dann werden Bilder und Webbugs nicht mehr automatisch geladen, Textinhalte können aber eingesehen werden. Benötigt man Bilder, lädt man diese dann händisch nach. Apple hatte keine Hinweise zu dem Fix im Beipackzettel zu watchOS 8.5 untergebracht, das Problem kommentarlos behoben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)