Browser: Trackingschutz im Safari ermöglichte Tracking

Ein Team von Google-Entwicklern hat herausgefunden, dass sich der intelligente Trackingschutz in Apples Safari-Browser auch selbst zum Tracking nutzen lassen kann. Daraus ergeben sich auch Probleme für Googles Chrome-Browser.

Artikel veröffentlicht am ,
Digitale Spuren von Nutzern lassen sich nur schwer verwischen.
Digitale Spuren von Nutzern lassen sich nur schwer verwischen. (Bild: Pexels)

Als Teil einer Routine-Überprüfung habe das IT-Sicherheitsteam von Google einige Probleme mit der Sicherheit und Privatsphäre des Trackingschutzes von Apples Browser Safari festgestellt. Das schreibt das Team in seiner nun veröffentlichten Analyse. Apple hatte diese Probleme bereits im Dezember vergangenen Jahres öffentlich bestätigt und versucht, sie mit Updates für den Safari-Browser zu beheben.

Stellenmarkt
  1. Informatiker als IT Projektleiter SAP S / 4HANA Energiebranche (m/w/d)
    Thüga SmartService GmbH, München, Freiburg, Naila
  2. Fulfillment Experte / Projektleiter Operations Prozesse/E-Commerce Warehouse (mobiles Arbeiten) ... (m/w/d)
    DPD Deutschland GmbH, Raum Frankfurt am Main, München, Dortmund (Home-Office)
Detailsuche

Das Grundproblem, dass die Google-Entwickler dabei beschreiben, ist, dass die sogenannte Intelligent Tracking Prevention (ITP) des Browsers, also der eingebaute Trackingschutz, unter Umständen selbst wieder zum Tracking von Anwendern genutzt werden kann.

Wie der an den Arbeiten beteiligte Artur Janc dazu schreibt, habe das Entwicklerteam des Safari-Browsers zwar viel dafür getan, die unfreiwillige Trackingmöglichkeit zu verhindern. Das Problem komplett zu beheben, sei wohl aber sehr hart, so Janc.

Zustand eignet sich immer für Tracking

Das wiederum liegt schlicht an der Herangehensweise der ITP. Denn statt etwa eine statische Liste von Domains oder Ähnlichem vorzuhalten, erzeugt der Safari-Browser diese dynamisch an Hand des Surfverhaltens der Nutzer. Konkret überprüft werden dabei auf Webseiten extern eingebundene Domains. Werden diese von Nutzern oft genug aufgerufen, erkennt dies der Browser und wendet dann Trackingschutzmaßnahmen auf diese Domains an.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  2. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  3. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
Weitere IT-Trainings

Wie die Forscher von Google nun ausführlich und anhand von Beispielcode erläutern, ist es darüber für Angreifer aber möglich gewesen, genau die Inhalte der gespeicherten Domainliste herauszufinden. Da sich diese je nach Nutzer voneinander unterscheiden, lassen sich Nutzer damit wiederum tracken. Die Safari-Entwickler haben aufgrund der Meldungen von Google nun wie erwähnt konkrete Gegenmaßnahmen in ihrem Browser umgesetzt.

Wie der Entwicklungschef des Chrome-Browsers bei Google, Justin Schuh, schreibt, habe das Chrome-Team mit seinem XSS-Auditor vor kurzem ähnliche Probleme gehabt und den betroffenen Code deshalb kurzerhand entfernt. Apple versuche hingegen, die Probleme lediglich zu umgehen, indem Mechanismen eingeführt werden, die Zustände speichern. "Das Hinzufügen eines Zustands führt jedoch häufig zu einer Verschlechterung von Datenschutz und Sicherheitsproblemen", schreibt Schuh auf Twitter.

Dieser Erkenntnis stimmt auch Janc prinzipiell zu. Er schreibt, die unerwartete Lektion der Arbeiten sei, dass man eine schlechte Zeit durchmachen werde, falls das Browserverhalten basierend auf lokal erfassten Daten geändert wird und diese Änderungen über das Web beobachtbare Folgen haben.

Das gelte aber eben nicht nur für die ITP im Safari, sondern auch für das vom Chrome-Team konzipiert Privacy Budget. Damit will Google einen Ausgleich zwischen personenbezogener Werbung und Datenschutz schaffen. Bei der Umsetzung dieser Idee werde sich das Team wohl mit denselben Problemen herumschlagen müssen, wie diese nun für den Safari-Browser beschrieben worden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /