Browser: Trackingschutz im Safari ermöglichte Tracking

Ein Team von Google-Entwicklern hat herausgefunden, dass sich der intelligente Trackingschutz in Apples Safari-Browser auch selbst zum Tracking nutzen lassen kann. Daraus ergeben sich auch Probleme für Googles Chrome-Browser.

Artikel veröffentlicht am ,
Digitale Spuren von Nutzern lassen sich nur schwer verwischen.
Digitale Spuren von Nutzern lassen sich nur schwer verwischen. (Bild: Pexels)

Als Teil einer Routine-Überprüfung habe das IT-Sicherheitsteam von Google einige Probleme mit der Sicherheit und Privatsphäre des Trackingschutzes von Apples Browser Safari festgestellt. Das schreibt das Team in seiner nun veröffentlichten Analyse. Apple hatte diese Probleme bereits im Dezember vergangenen Jahres öffentlich bestätigt und versucht, sie mit Updates für den Safari-Browser zu beheben.

Stellenmarkt
  1. DevOps/IT Operations Engineer (w/m/d) Container Platform
    ING Deutschland, Nürnberg
  2. (Junior) IT Business Partner / Demand Manager - Sales Units (m/w/d)
    Jungheinrich AG, Hamburg
Detailsuche

Das Grundproblem, dass die Google-Entwickler dabei beschreiben, ist, dass die sogenannte Intelligent Tracking Prevention (ITP) des Browsers, also der eingebaute Trackingschutz, unter Umständen selbst wieder zum Tracking von Anwendern genutzt werden kann.

Wie der an den Arbeiten beteiligte Artur Janc dazu schreibt, habe das Entwicklerteam des Safari-Browsers zwar viel dafür getan, die unfreiwillige Trackingmöglichkeit zu verhindern. Das Problem komplett zu beheben, sei wohl aber sehr hart, so Janc.

Zustand eignet sich immer für Tracking

Das wiederum liegt schlicht an der Herangehensweise der ITP. Denn statt etwa eine statische Liste von Domains oder Ähnlichem vorzuhalten, erzeugt der Safari-Browser diese dynamisch an Hand des Surfverhaltens der Nutzer. Konkret überprüft werden dabei auf Webseiten extern eingebundene Domains. Werden diese von Nutzern oft genug aufgerufen, erkennt dies der Browser und wendet dann Trackingschutzmaßnahmen auf diese Domains an.

Golem Karrierewelt
  1. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    26./27.10.2022, virtuell
Weitere IT-Trainings

Wie die Forscher von Google nun ausführlich und anhand von Beispielcode erläutern, ist es darüber für Angreifer aber möglich gewesen, genau die Inhalte der gespeicherten Domainliste herauszufinden. Da sich diese je nach Nutzer voneinander unterscheiden, lassen sich Nutzer damit wiederum tracken. Die Safari-Entwickler haben aufgrund der Meldungen von Google nun wie erwähnt konkrete Gegenmaßnahmen in ihrem Browser umgesetzt.

Wie der Entwicklungschef des Chrome-Browsers bei Google, Justin Schuh, schreibt, habe das Chrome-Team mit seinem XSS-Auditor vor kurzem ähnliche Probleme gehabt und den betroffenen Code deshalb kurzerhand entfernt. Apple versuche hingegen, die Probleme lediglich zu umgehen, indem Mechanismen eingeführt werden, die Zustände speichern. "Das Hinzufügen eines Zustands führt jedoch häufig zu einer Verschlechterung von Datenschutz und Sicherheitsproblemen", schreibt Schuh auf Twitter.

Dieser Erkenntnis stimmt auch Janc prinzipiell zu. Er schreibt, die unerwartete Lektion der Arbeiten sei, dass man eine schlechte Zeit durchmachen werde, falls das Browserverhalten basierend auf lokal erfassten Daten geändert wird und diese Änderungen über das Web beobachtbare Folgen haben.

Das gelte aber eben nicht nur für die ITP im Safari, sondern auch für das vom Chrome-Team konzipiert Privacy Budget. Damit will Google einen Ausgleich zwischen personenbezogener Werbung und Datenschutz schaffen. Bei der Umsetzung dieser Idee werde sich das Team wohl mit denselben Problemen herumschlagen müssen, wie diese nun für den Safari-Browser beschrieben worden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Start-ups
Der Osten erfindet sich neu

Start-ups spielen beim wirtschaftlichen Aufholprozess in Ostdeutschland eine zunehmende Rolle - Game Changer sind sie bisher aber nicht.
Ein Bericht von Carolin Wilms

Start-ups: Der Osten erfindet sich neu
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

  3. Google: Nutzer fordern Bluetooth-Freigabe für Stadia-Controller
    Google
    Nutzer fordern Bluetooth-Freigabe für Stadia-Controller

    Mit der Einstellung von Stadia können auch Tausende der speziellen Controller ohne ein Update nicht mehr drahtlos genutzt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window White 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€, NZXT Kraken X73 139€) • SanDisk Ultra microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /