Apple hat lange erklärt, dass Fingerprinting — die Nachverfolgung von Nutzer:innen über die Hard- und Softwarefunktionen ihrer Geräte — nicht zulässig sei. Doch offenbar haben einige beliebte Apps eine Hintertür gefunden, die sie unbemerkt ausnutzen.

Der Datenschutzforscher Tommy Mysk hat herausgefunden, dass eine Reihe beliebter iOS‑Apps eine 2016 eingeführte Push-Benachrichtigungsfunktion nutzen, um detaillierte Daten über die Geräte der Nutzer:innen an die Server ihrer Unternehmen zu senden.

Mysk erklärte, er habe dieses beunruhigende und offenbar anhaltende Muster bei der Untersuchung mehrerer Social-Media-Apps festgestellt, darunter TikTok, Facebook, FB Messenger, Instagram, Threads und X. Alle diese Apps nutzten die Funktion zur Anpassung ihrer Push-Benachrichtigungen, auch wenn diese nicht ausgeführt wurden.

Diese Funktion ist an sich nicht bösartig und dient einem wichtigen Zweck. Sie kann beispielsweise für Apps nützlich sein, die die Nutzlast der Benachrichtigung dekodieren oder zusätzliche Inhalte herunterladen müssen, um die Benachrichtigung für die Nutzer:innen optimal darzustellen. Wenn eine App eine Push-Benachrichtigung erhält, teilt iOS der App mit, dass sie aufwachen und für eine kurze Zeit ausgeführt werden soll. Während dieser Zeit kann die App alles tun, was der Entwickler möchte, einschließlich der Möglichkeit, das Aussehen der Push-Benachrichtigung in irgendeiner Weise zu verändern. Letzteres wäre der ursprüngliche Zweck der Funktion, aber das Problem besteht darin, dass die App während dieser Zeit auch Daten sammeln oder Informationen über die Nutzer:innen senden kann.

Mysk hat beobachtet, dass die von ihm untersuchten Apps gelernt haben, diese begrenzte Laufzeit voll auszunutzen, um Daten vom Gerät zu sammeln und an Remote-Server zu senden. Die Möglichkeit, Code im Hintergrund auszuführen, bezeichnet der Forscher als „Goldgrube für datenhungrige Apps“.

Wie funktioniert das laut Mysk?

• Der App-Entwickler schreibt einen Code, der im Hintergrund der App ausgeführt wird
• Der Entwickler sendet eine Push-Benachrichtigung an den Nutzer der App. Die Push-Benachrichtigung kann für alles Mögliche sein, von einem Nachrichten-Update über ein Live-Sportergebnis bis hin zu einer neuen Freundschaftsanfrage
• Das Gerät empfängt die Push-Benachrichtigung, zeigt sie aber noch nicht auf dem Bildschirm an. iOS erkennt, dass die Push-Benachrichtigung von der sozialen App stammt und weckt sie im Hintergrund auf. Die App wird nun ausgeführt, aber der Nutzer kann sie nicht sehen oder mit ihr interagieren
• Die App führt den Code aus, den der Entwickler im Hintergrund vorbereitet hat. Dieser Code kann harmlos sein und z. B. dazu dienen, der Benachrichtigung zusätzliche Informationen wie Bilder hinzuzufügen. Er kann aber auch dazu verwendet werden, Nutzerdaten auf dem Gerät abzufangen und an die Server des Entwicklers zu senden

Auf diese Weise können Entwickler eine einzigartige Kombination von Software- und Hardwaremerkmalen für die Geräte der Nutzer:innen erhalten.

Viele Apps nutzen diese Funktion, um unbemerkt im Hintergrund detaillierte Geräteinformationen zu senden. Dazu gehören: Systembetriebszeit, Gebietsschema, Tastatursprache, verfügbarer Speicher, Batteriestatus, Gerätemodell, Displayhelligkeit, usw.

Diese Daten können dann verwendet werden, um Nutzer:innen über verschiedene Apps hinweg zu verfolgen, so Mysk.

Welche Daten werden gesammelt?

In dem Video, in dem die Beispiele für solche Tricks beschrieben werden, zeigt Mysk die Arten von Daten, die von Social-Media-Unternehmen durch das Schlupfloch der Push-Benachrichtigung gesammelt werden können. Die Sammlung erfolgt entweder über die eigenen Dienste des Unternehmens oder über Drittanbieter-Tools, wie z. B. Googles Analysetools — Google Analytics und Firebase.

Bei TikTok beispielsweise sendet die App jedes Mal, wenn sie eine Push-Benachrichtigung erhält, die Startzeit des iPhones an die Remote-Server.

Das bedeutet, dass TikTok genau weiß, wann die Person ihr iPhone zuletzt neu gestartet hat. Wenn die Startzeit über einen bestimmten Zeitraum gesammelt wird, kann sie Aufschluss darüber geben, wie oft die Person ihr iPhone neu startet, was ein Hinweis darauf sein kann, wie intensiv es genutzt wird oder wie stabil es ist. Sie kann auch verwendet werden, um das Benutzergerät zu identifizieren oder Aktivitäten zu verfolgen.

Wenn die Facebook-App eine Push-Benachrichtigung an dasselbe Gerät sendet, erhält Facebook dieselben Daten über den letzten Start des iPhones.

Wie der Forscher anmerkt, kann dies die Verfolgung der Benutzer:innen über verschiedene Apps hinweg erleichtern. Der Grund dafür ist, dass die Startzeit als eindeutige Kennung für das Gerät verwendet werden kann. Wenn ein und dasselbe Gerät über mehrere Apps verfügt, die die Startzeit erfassen und an denselben oder verschiedene Server senden, können diese Server die Startzeitdaten vergleichen und sie mit demselben Gerät verknüpfen. Auf diese Weise können sie das Verhalten und die Vorlieben der Nutzer:innen über verschiedene Apps hinweg verfolgen, selbst wenn die Nutzer:innen nicht für jede App dasselbe Konto oder dieselben Anmeldeinformationen verwenden. All dies macht die Ausnutzung der Push-Benachrichtigungsfunktion durch Social-Media-Unternehmen zu einer echten Bedrohung für die Privatsphäre.

Darüber hinaus stellt Mysk fest, dass einige Apps wie Facebook und TikTok auch Daten senden, wenn man ihre Benachrichtigungen im Notification Center löscht. Das Notification Center ist eine iOS‑Funktion, die einen Überblick über die Benachrichtigungen von Apps bietet.

Wenn ein Nutzer beispielsweise eine Facebook-Benachrichtigung löscht, sendet die App eine Anfrage mit detaillierten Informationen, einschließlich Informationen über den verfügbaren Speicherplatz, das letzte Ereignis der App, wie das Liken eines Posts, die Zeit seit dem letzten Ereignis der App, die Akteur‑ID, die das Facebook-Konto des Nutzers identifiziert, die bevorzugte Inhaltsgröße, den Zeitstempel (d. h. das genaue Datum und die genaue Uhrzeit), wann die Benachrichtigung gelöscht wurde, die Verbindungsart usw.

Twitter (X) geht bei der Sammlung von Nutzerdaten mehr oder weniger genauso vor wie Facebook und TikTok.

Alle drei Unternehmen nutzen Firebase, einen Dienst von Google, bemerkt Mysk und fügt hinzu: „Die Häufigkeit, mit der viele Apps Geräteinformationen senden, nachdem sie durch eine Benachrichtigung ausgelöst wurden, ist unglaublich.“

Apples neue Regeln für Entwickler: Was wird sich ändern?

Mysk setzt große Hoffnungen in Apples neuen Regeln für Entwickler, die im Frühjahr in Kraft treten werden. Bei der Vorstellung der Regeln kündigte Apple an, dass Entwickler erklären müssen, warum ihre Apps bestimmte APIs (Application Programming Interfaces) verwenden müssen, also Methoden, mit denen verschiedene Apps kommunizieren und Daten austauschen können.

Entwickler müssen erklären, warum sie Zugriff auf Geräteinformationen benötigen, und zwar nicht nur für ihren eigenen Code, sondern auch für SDKs (Software Development Kits) von Drittanbietern, die sie ihren Apps hinzufügen. Sowohl Apps als auch SDKs von Drittanbietern müssen einen oder mehrere „genehmigte Gründe“ angeben, warum sie über bestimmte APIs Zugriff auf Geräteinformationen benötigen, und zwar in eigenen Dokumenten, die als „Datenschutzmanifeste“ bezeichnet werden. Diese Gründe sollten mit der Funktionalität der App im Einklang stehen. Wir haben im August einen ausführlichen Beitrag über die neuen Anforderungen von Apple an Entwickler geschrieben.

Die Frage ist jedoch, ob dies Unternehmen davon abhalten wird, über die Hintertür der Push-Benachrichtigung Daten von Apps zu sammeln. Theoretisch ja, aber nur, wenn Apple diese Regeln ernsthaft durchsetzt und die Einhaltung durch die Entwickler kontrolliert. Dies ist keinesfalls garantiert.

Wir glauben, dass die neuen Regeln die Situation verbessern werden, aber um wie viel? Das ist eine schwierige Frage, mit vielen Variablen. Die Entwickler werden die neuen Regeln berücksichtigen müssen, und es besteht die Möglichkeit, dass sie versuchen werden, sie in gutem Glauben zu befolgen. Diejenigen jedoch, die unbedingt weiterhin Daten sammeln wollen, werden sich wahrscheinlich dafür entscheiden, Risiken einzugehen. Es liegt dann an Apple und seinen Prüfern, diese Apps auf frischer Tat zu ertappen.

Wir hoffen jedenfalls, dass Apple einen proaktiven und transparenten Ansatz zur Durchsetzung des Datenschutzes verfolgen wird, da andernfalls die Daten der Nutzer:innen weiterhin gefährdet sind.