Menü
DE

TikTok, Meta, X und andere nutzen Push-Benachrichtigungen auf iOS, um Daten über Sie zu sammeln

Apple hat lange erklärt, dass Fingerprinting — die Nachverfolgung von Nutzer:innen über die Hard- und Softwarefunktionen ihrer Geräte — nicht zulässig sei. Doch offenbar haben einige beliebte Apps eine Hintertür gefunden, die sie unbemerkt ausnutzen.

Der Datenschutzforscher Tommy Mysk hat herausgefunden, dass eine Reihe beliebter iOS‑Apps eine 2016 eingeführte Push-Benachrichtigungsfunktion nutzen, um detaillierte Daten über die Geräte der Nutzer:innen an die Server ihrer Unternehmen zu senden.

Mysk erklärte, er habe dieses beunruhigende und offenbar anhaltende Muster bei der Untersuchung mehrerer Social-Media-Apps festgestellt, darunter TikTok, Facebook, FB Messenger, Instagram, Threads und X. Alle diese Apps nutzten die Funktion zur Anpassung ihrer Push-Benachrichtigungen, auch wenn diese nicht ausgeführt wurden.

Diese Funktion ist an sich nicht bösartig und dient einem wichtigen Zweck. Sie kann beispielsweise für Apps nützlich sein, die die Nutzlast der Benachrichtigung dekodieren oder zusätzliche Inhalte herunterladen müssen, um die Benachrichtigung für die Nutzer:innen optimal darzustellen. Wenn eine App eine Push-Benachrichtigung erhält, teilt iOS der App mit, dass sie aufwachen und für eine kurze Zeit ausgeführt werden soll. Während dieser Zeit kann die App alles tun, was der Entwickler möchte, einschließlich der Möglichkeit, das Aussehen der Push-Benachrichtigung in irgendeiner Weise zu verändern. Letzteres wäre der ursprüngliche Zweck der Funktion, aber das Problem besteht darin, dass die App während dieser Zeit auch Daten sammeln oder Informationen über die Nutzer:innen senden kann.

Mysk hat beobachtet, dass die von ihm untersuchten Apps gelernt haben, diese begrenzte Laufzeit voll auszunutzen, um Daten vom Gerät zu sammeln und an Remote-Server zu senden. Die Möglichkeit, Code im Hintergrund auszuführen, bezeichnet der Forscher als „Goldgrube für datenhungrige Apps“.

Wie funktioniert das laut Mysk?

  • Der App-Entwickler schreibt einen Code, der im Hintergrund der App ausgeführt wird
  • Der Entwickler sendet eine Push-Benachrichtigung an den Nutzer der App. Die Push-Benachrichtigung kann für alles Mögliche sein, von einem Nachrichten-Update über ein Live-Sportergebnis bis hin zu einer neuen Freundschaftsanfrage
  • Das Gerät empfängt die Push-Benachrichtigung, zeigt sie aber noch nicht auf dem Bildschirm an. iOS erkennt, dass die Push-Benachrichtigung von der sozialen App stammt und weckt sie im Hintergrund auf. Die App wird nun ausgeführt, aber der Nutzer kann sie nicht sehen oder mit ihr interagieren
  • Die App führt den Code aus, den der Entwickler im Hintergrund vorbereitet hat. Dieser Code kann harmlos sein und z. B. dazu dienen, der Benachrichtigung zusätzliche Informationen wie Bilder hinzuzufügen. Er kann aber auch dazu verwendet werden, Nutzerdaten auf dem Gerät abzufangen und an die Server des Entwicklers zu senden

Auf diese Weise können Entwickler eine einzigartige Kombination von Software- und Hardwaremerkmalen für die Geräte der Nutzer:innen erhalten.

Viele Apps nutzen diese Funktion, um unbemerkt im Hintergrund detaillierte Geräteinformationen zu senden. Dazu gehören: Systembetriebszeit, Gebietsschema, Tastatursprache, verfügbarer Speicher, Batteriestatus, Gerätemodell, Displayhelligkeit, usw.

Diese Daten können dann verwendet werden, um Nutzer:innen über verschiedene Apps hinweg zu verfolgen, so Mysk.

Welche Daten werden gesammelt?

In dem Video, in dem die Beispiele für solche Tricks beschrieben werden, zeigt Mysk die Arten von Daten, die von Social-Media-Unternehmen durch das Schlupfloch der Push-Benachrichtigung gesammelt werden können. Die Sammlung erfolgt entweder über die eigenen Dienste des Unternehmens oder über Drittanbieter-Tools, wie z. B. Googles Analysetools — Google Analytics und Firebase.

TikTok

Bei TikTok beispielsweise sendet die App jedes Mal, wenn sie eine Push-Benachrichtigung erhält, die Startzeit des iPhones an die Remote-Server.

TikTok sendet eine Menge Daten an externe Server

Das bedeutet, dass TikTok genau weiß, wann die Person ihr iPhone zuletzt neu gestartet hat. Wenn die Startzeit über einen bestimmten Zeitraum gesammelt wird, kann sie Aufschluss darüber geben, wie oft die Person ihr iPhone neu startet, was ein Hinweis darauf sein kann, wie intensiv es genutzt wird oder wie stabil es ist. Sie kann auch verwendet werden, um das Benutzergerät zu identifizieren oder Aktivitäten zu verfolgen.

Wenn die Facebook-App eine Push-Benachrichtigung an dasselbe Gerät sendet, erhält Facebook dieselben Daten über den letzten Start des iPhones.

Facebook

Wie der Forscher anmerkt, kann dies die Verfolgung der Benutzer:innen über verschiedene Apps hinweg erleichtern. Der Grund dafür ist, dass die Startzeit als eindeutige Kennung für das Gerät verwendet werden kann. Wenn ein und dasselbe Gerät über mehrere Apps verfügt, die die Startzeit erfassen und an denselben oder verschiedene Server senden, können diese Server die Startzeitdaten vergleichen und sie mit demselben Gerät verknüpfen. Auf diese Weise können sie das Verhalten und die Vorlieben der Nutzer:innen über verschiedene Apps hinweg verfolgen, selbst wenn die Nutzer:innen nicht für jede App dasselbe Konto oder dieselben Anmeldeinformationen verwenden. All dies macht die Ausnutzung der Push-Benachrichtigungsfunktion durch Social-Media-Unternehmen zu einer echten Bedrohung für die Privatsphäre.

Darüber hinaus stellt Mysk fest, dass einige Apps wie Facebook und TikTok auch Daten senden, wenn man ihre Benachrichtigungen im Notification Center löscht. Das Notification Center ist eine iOS‑Funktion, die einen Überblick über die Benachrichtigungen von Apps bietet.

Wenn ein Nutzer beispielsweise eine Facebook-Benachrichtigung löscht, sendet die App eine Anfrage mit detaillierten Informationen, einschließlich Informationen über den verfügbaren Speicherplatz, das letzte Ereignis der App, wie das Liken eines Posts, die Zeit seit dem letzten Ereignis der App, die Akteur‑ID, die das Facebook-Konto des Nutzers identifiziert, die bevorzugte Inhaltsgröße, den Zeitstempel (d. h. das genaue Datum und die genaue Uhrzeit), wann die Benachrichtigung gelöscht wurde, die Verbindungsart usw.

Wenn eine Facebook-Benachrichtigung gelöscht wird, sendet die App detaillierte Informationen über den Nutzer an externe Server

Twitter (X) geht bei der Sammlung von Nutzerdaten mehr oder weniger genauso vor wie Facebook und TikTok.

X/Twitter

Alle drei Unternehmen nutzen Firebase, einen Dienst von Google, bemerkt Mysk und fügt hinzu: „Die Häufigkeit, mit der viele Apps Geräteinformationen senden, nachdem sie durch eine Benachrichtigung ausgelöst wurden, ist unglaublich.“

Apples neue Regeln für Entwickler: Was wird sich ändern?

Mysk setzt große Hoffnungen in Apples neuen Regeln für Entwickler, die im Frühjahr in Kraft treten werden. Bei der Vorstellung der Regeln kündigte Apple an, dass Entwickler erklären müssen, warum ihre Apps bestimmte APIs (Application Programming Interfaces) verwenden müssen, also Methoden, mit denen verschiedene Apps kommunizieren und Daten austauschen können.

Entwickler müssen erklären, warum sie Zugriff auf Geräteinformationen benötigen, und zwar nicht nur für ihren eigenen Code, sondern auch für SDKs (Software Development Kits) von Drittanbietern, die sie ihren Apps hinzufügen. Sowohl Apps als auch SDKs von Drittanbietern müssen einen oder mehrere „genehmigte Gründe“ angeben, warum sie über bestimmte APIs Zugriff auf Geräteinformationen benötigen, und zwar in eigenen Dokumenten, die als „Datenschutzmanifeste“ bezeichnet werden. Diese Gründe sollten mit der Funktionalität der App im Einklang stehen. Wir haben im August einen ausführlichen Beitrag über die neuen Anforderungen von Apple an Entwickler geschrieben.

Die Frage ist jedoch, ob dies Unternehmen davon abhalten wird, über die Hintertür der Push-Benachrichtigung Daten von Apps zu sammeln. Theoretisch ja, aber nur, wenn Apple diese Regeln ernsthaft durchsetzt und die Einhaltung durch die Entwickler kontrolliert. Dies ist keinesfalls garantiert.

Wir glauben, dass die neuen Regeln die Situation verbessern werden, aber um wie viel? Das ist eine schwierige Frage, mit vielen Variablen. Die Entwickler werden die neuen Regeln berücksichtigen müssen, und es besteht die Möglichkeit, dass sie versuchen werden, sie in gutem Glauben zu befolgen. Diejenigen jedoch, die unbedingt weiterhin Daten sammeln wollen, werden sich wahrscheinlich dafür entscheiden, Risiken einzugehen. Es liegt dann an Apple und seinen Prüfern, diese Apps auf frischer Tat zu ertappen.

Wir hoffen jedenfalls, dass Apple einen proaktiven und transparenten Ansatz zur Durchsetzung des Datenschutzes verfolgen wird, da andernfalls die Daten der Nutzer:innen weiterhin gefährdet sind.

Hat Ihnen dieser Beitrag gefallen?

AdGuard für Windows

AdGuard für Windows ist mehr als nur ein Werbeblocker. Es ist ein Mehrzweck-Tool, das Werbung blockiert, den Zugriff auf gefährliche Websites kontrolliert, das Laden von Seiten beschleunigt und Kinder vor ungeeigneten Inhalten schützt.
Bewertungen: 14511
4,7 von 5
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen

AdGuard für Mac

Im Gegensatz zu anderen Werbeblockern ist AdGuard speziell für macOS ausgelegt. Es sperrt nicht nur Werbung in Safari und anderen Browsern, sondern schützt Sie auch vor Tracking, Phishing und Betrug.
Bewertungen: 14511
4,7 von 5
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen

AdGuard für Android

AdGuard für Android ist eine ideale Lösung für Mobilgeräte auf Android. Im Gegensatz zu anderen Werbeblockern benötigt AdGuard keinen Root-Zugriff und bietet ein breites Spektrum an Funktionen für App-Verwaltung.
Bewertungen: 14511
4,7 von 5
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag

AdGuard für iOS

Der fortschrittlichste Werbeblocker für Safari: Er lässt Sie Popup-Werbung ausblenden, beschleunigt den Seitenaufbau und schützt Ihre persönlichen Daten. Ein manuelles Tool zum Blockieren von Elementen und sehr anpassbare Einstellungen helfen Ihnen, die Filterung genau an Ihre Bedürfnisse anzupassen.
Bewertungen: 14511
4,7 von 5
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag

AdGuard Browsererweiterung

AdGuard ist die schnellste und leichteste Werbeblocker-Erweiterung, die alle Arten von lästiger Werbung auf allen Websites effektiv sperrt! Wählen Sie AdGuard-Adblocker für Ihren Browser und surfen Sie kostenlos, schnell und sicher.
Bewertungen: 14511
4,7 von 5

AdGuard für Safari

Erweiterungen für Safari zum Sperren von Werbeeinblendungen haben es schwer, seit Apple begonnen hat, jeden zu zwingen, die neue SDK zu verwenden. Die AdGuard-Erweiterung soll Safari die hochwertige Werbeblockade zurückgeben.
Bewertungen: 14511
4,7 von 5
App Store
Herunterladen
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag

AdGuard Home

AdGuard Home ist eine netzwerkweite Software zum Sperren von Werbung und Tracking. Nachdem Sie es eingerichtet haben, deckt es ALLE Ihre Heimgeräte ab, und Sie brauchen dafür keine clientseitige Software. Mit dem Aufstieg von „Internet der Dinge” und vernetzten Geräten wird es immer wichtiger, Ihr gesamtes Netzwerk zu kontrollieren.
Bewertungen: 14511
4,7 von 5

AdGuard-Inhaltsblocker

AdGuard-Inhaltsblocker eliminiert die gesamte Werbung in mobilen Browsern, welche die Inhaltsblocker-Technologie unterstützen - dies sind Samsung Internet und Yandex.Browser. Im Gegensatz zu AdGuard für Android ist der Inhaltsblocker nicht so umfangreich, dafür allerdings kostenlos, einfach zu installieren und bietet immer noch eine hohe Qualität beim Sperren von Werbung.
Bewertungen: 14511
4,7 von 5
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen

AdGuard-Assistent

Eine zusätzliche Browsererweiterung für AdGuard-Desktop-Apps. Damit können Sie innerhalb des Browsers manuell Elemente sperren, Websites zur Freigabeliste hinzufügen oder Fehlerberichte senden.
Bewertungen: 14511
4,7 von 5
Assistent für Chrome Ist das Ihr derzeitiger Browser?
Installieren
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Assistent für Firefox Ist das Ihr derzeitiger Browser?
Installieren
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Assistent für Edge Ist das Ihr derzeitiger Browser?
Installieren
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Assistent für Opera Ist das Ihr derzeitiger Browser?
Installieren
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Assistent für Yandex Ist das Ihr derzeitiger Browser?
Installieren
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Assistent für Safari Ist das Ihr derzeitiger Browser?
Wenn Sie Ihren Browser nicht finden können, probieren Sie die alte Version des Assistenten aus, die Sie in den Einstellungen der AdGuard-Erweiterung finden können.

AdGuard Temp Mail β

Ein kostenloser Generator für temporäre E-Mail-Adressen, der Ihre Anonymität wahrt und Ihre Privatsphäre schützt
Bewertungen: 14511
4,7 von 5

AdGuard für Android TV

AdGuard für Android TV ist die einzige App, die Werbung sperrt, Ihre Privatsphäre schützt und als Firewall für Ihr Smart TV fungiert. Sie erhalten Warnungen über Web-Bedrohungen, verwenden sichere DNS und profitieren von verschlüsseltem Datenverkehr. Entspannen Sie sich und schauen Sie sich Ihre Lieblingssendungen an - mit erstklassiger Sicherheit und ohne Werbung!
Bewertungen: 14511
4,7 von 5
AdGuard herunterladen Klicken Sie auf die Datei hinter dem Pfeil, um AdGuard zu installieren Wählen Sie "Öffnen", klicken Sie dann auf "OK" und warten Sie, bis die Datei heruntergeladen ist. Ziehen Sie im geöffneten Fenster das AdGuard-Symbol in den Ordner "Programme". Vielen Dank, dass Sie sich für AdGuard entschieden haben! Wählen Sie "Öffnen", klicken Sie dann auf "OK" und warten Sie, bis die Datei heruntergeladen ist. Klicken Sie im geöffneten Fenster auf "Installieren". Vielen Dank, dass Sie sich für AdGuard entschieden haben!
Installieren Sie AdGuard auf mobilen Geräten