• IT-Karriere:
  • Services:

Browser: Trackingschutz im Safari ermöglichte Tracking

Ein Team von Google-Entwicklern hat herausgefunden, dass sich der intelligente Trackingschutz in Apples Safari-Browser auch selbst zum Tracking nutzen lassen kann. Daraus ergeben sich auch Probleme für Googles Chrome-Browser.

Artikel veröffentlicht am ,
Digitale Spuren von Nutzern lassen sich nur schwer verwischen.
Digitale Spuren von Nutzern lassen sich nur schwer verwischen. (Bild: Pexels)

Als Teil einer Routine-Überprüfung habe das IT-Sicherheitsteam von Google einige Probleme mit der Sicherheit und Privatsphäre des Trackingschutzes von Apples Browser Safari festgestellt. Das schreibt das Team in seiner nun veröffentlichten Analyse. Apple hatte diese Probleme bereits im Dezember vergangenen Jahres öffentlich bestätigt und versucht, sie mit Updates für den Safari-Browser zu beheben.

Stellenmarkt
  1. Hays AG, Hamburg
  2. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz

Das Grundproblem, dass die Google-Entwickler dabei beschreiben, ist, dass die sogenannte Intelligent Tracking Prevention (ITP) des Browsers, also der eingebaute Trackingschutz, unter Umständen selbst wieder zum Tracking von Anwendern genutzt werden kann.

Wie der an den Arbeiten beteiligte Artur Janc dazu schreibt, habe das Entwicklerteam des Safari-Browsers zwar viel dafür getan, die unfreiwillige Trackingmöglichkeit zu verhindern. Das Problem komplett zu beheben, sei wohl aber sehr hart, so Janc.

Zustand eignet sich immer für Tracking

Das wiederum liegt schlicht an der Herangehensweise der ITP. Denn statt etwa eine statische Liste von Domains oder Ähnlichem vorzuhalten, erzeugt der Safari-Browser diese dynamisch an Hand des Surfverhaltens der Nutzer. Konkret überprüft werden dabei auf Webseiten extern eingebundene Domains. Werden diese von Nutzern oft genug aufgerufen, erkennt dies der Browser und wendet dann Trackingschutzmaßnahmen auf diese Domains an.

Wie die Forscher von Google nun ausführlich und anhand von Beispielcode erläutern, ist es darüber für Angreifer aber möglich gewesen, genau die Inhalte der gespeicherten Domainliste herauszufinden. Da sich diese je nach Nutzer voneinander unterscheiden, lassen sich Nutzer damit wiederum tracken. Die Safari-Entwickler haben aufgrund der Meldungen von Google nun wie erwähnt konkrete Gegenmaßnahmen in ihrem Browser umgesetzt.

Wie der Entwicklungschef des Chrome-Browsers bei Google, Justin Schuh, schreibt, habe das Chrome-Team mit seinem XSS-Auditor vor kurzem ähnliche Probleme gehabt und den betroffenen Code deshalb kurzerhand entfernt. Apple versuche hingegen, die Probleme lediglich zu umgehen, indem Mechanismen eingeführt werden, die Zustände speichern. "Das Hinzufügen eines Zustands führt jedoch häufig zu einer Verschlechterung von Datenschutz und Sicherheitsproblemen", schreibt Schuh auf Twitter.

Dieser Erkenntnis stimmt auch Janc prinzipiell zu. Er schreibt, die unerwartete Lektion der Arbeiten sei, dass man eine schlechte Zeit durchmachen werde, falls das Browserverhalten basierend auf lokal erfassten Daten geändert wird und diese Änderungen über das Web beobachtbare Folgen haben.

Das gelte aber eben nicht nur für die ITP im Safari, sondern auch für das vom Chrome-Team konzipiert Privacy Budget. Damit will Google einen Ausgleich zwischen personenbezogener Werbung und Datenschutz schaffen. Bei der Umsetzung dieser Idee werde sich das Team wohl mit denselben Problemen herumschlagen müssen, wie diese nun für den Safari-Browser beschrieben worden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Folgen Sie uns
       


PB60: Adminpasswort auf Asus-Rechnern wirkungslos
PB60
Adminpasswort auf Asus-Rechnern wirkungslos

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
Eine Recherche von Hanno Böck

  1. Vivobook Flip 14 Asus-Convertible verwendet AMD Renoir ab 600 US-Dollar
  2. Asus 43-Zoll-Monitor hat HDMI 2.1 für die kommenden Konsolen
  3. ROG Phone 3 im Test Das Hardware-Monster nicht nur für Gamer

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    Programmiersprache Go: Schlanke Syntax, schneller Compiler
    Programmiersprache Go
    Schlanke Syntax, schneller Compiler

    Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
    Von Tim Schürmann


        •  /