• IT-Karriere:
  • Services:

Browser: Trackingschutz im Safari ermöglichte Tracking

Ein Team von Google-Entwicklern hat herausgefunden, dass sich der intelligente Trackingschutz in Apples Safari-Browser auch selbst zum Tracking nutzen lassen kann. Daraus ergeben sich auch Probleme für Googles Chrome-Browser.

Artikel veröffentlicht am ,
Digitale Spuren von Nutzern lassen sich nur schwer verwischen.
Digitale Spuren von Nutzern lassen sich nur schwer verwischen. (Bild: Pexels)

Als Teil einer Routine-Überprüfung habe das IT-Sicherheitsteam von Google einige Probleme mit der Sicherheit und Privatsphäre des Trackingschutzes von Apples Browser Safari festgestellt. Das schreibt das Team in seiner nun veröffentlichten Analyse. Apple hatte diese Probleme bereits im Dezember vergangenen Jahres öffentlich bestätigt und versucht, sie mit Updates für den Safari-Browser zu beheben.

Stellenmarkt
  1. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  2. Deloitte, Leipzig

Das Grundproblem, dass die Google-Entwickler dabei beschreiben, ist, dass die sogenannte Intelligent Tracking Prevention (ITP) des Browsers, also der eingebaute Trackingschutz, unter Umständen selbst wieder zum Tracking von Anwendern genutzt werden kann.

Wie der an den Arbeiten beteiligte Artur Janc dazu schreibt, habe das Entwicklerteam des Safari-Browsers zwar viel dafür getan, die unfreiwillige Trackingmöglichkeit zu verhindern. Das Problem komplett zu beheben, sei wohl aber sehr hart, so Janc.

Zustand eignet sich immer für Tracking

Das wiederum liegt schlicht an der Herangehensweise der ITP. Denn statt etwa eine statische Liste von Domains oder Ähnlichem vorzuhalten, erzeugt der Safari-Browser diese dynamisch an Hand des Surfverhaltens der Nutzer. Konkret überprüft werden dabei auf Webseiten extern eingebundene Domains. Werden diese von Nutzern oft genug aufgerufen, erkennt dies der Browser und wendet dann Trackingschutzmaßnahmen auf diese Domains an.

Wie die Forscher von Google nun ausführlich und anhand von Beispielcode erläutern, ist es darüber für Angreifer aber möglich gewesen, genau die Inhalte der gespeicherten Domainliste herauszufinden. Da sich diese je nach Nutzer voneinander unterscheiden, lassen sich Nutzer damit wiederum tracken. Die Safari-Entwickler haben aufgrund der Meldungen von Google nun wie erwähnt konkrete Gegenmaßnahmen in ihrem Browser umgesetzt.

Wie der Entwicklungschef des Chrome-Browsers bei Google, Justin Schuh, schreibt, habe das Chrome-Team mit seinem XSS-Auditor vor kurzem ähnliche Probleme gehabt und den betroffenen Code deshalb kurzerhand entfernt. Apple versuche hingegen, die Probleme lediglich zu umgehen, indem Mechanismen eingeführt werden, die Zustände speichern. "Das Hinzufügen eines Zustands führt jedoch häufig zu einer Verschlechterung von Datenschutz und Sicherheitsproblemen", schreibt Schuh auf Twitter.

Dieser Erkenntnis stimmt auch Janc prinzipiell zu. Er schreibt, die unerwartete Lektion der Arbeiten sei, dass man eine schlechte Zeit durchmachen werde, falls das Browserverhalten basierend auf lokal erfassten Daten geändert wird und diese Änderungen über das Web beobachtbare Folgen haben.

Das gelte aber eben nicht nur für die ITP im Safari, sondern auch für das vom Chrome-Team konzipiert Privacy Budget. Damit will Google einen Ausgleich zwischen personenbezogener Werbung und Datenschutz schaffen. Bei der Umsetzung dieser Idee werde sich das Team wohl mit denselben Problemen herumschlagen müssen, wie diese nun für den Safari-Browser beschrieben worden sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 3,99€
  2. 3,74€
  3. (-40%) 5,99€

Folgen Sie uns
       


Magenta-TV-Stick der Deutschen Telekom - Test

Der Magenta-TV-Stick befindet sich noch im Betatest, so dass einige Funktionen noch fehlen und später nachgereicht werden. Der Stick läuft mit einer angepassten Version von Android TV. Bei Magenta TV selbst sehen wir noch viel Verbesserungsbedarf.

Magenta-TV-Stick der Deutschen Telekom - Test Video aufrufen
Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

    •  /