Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Nur in der EU: Safari auf iOS ermöglicht Device Tracking

Auch im Inkognito-Modus bleibt ein iPhone auf einer entsprechend präparierten Webseite identifizierbar. Verantwortlich ist ein neues URI-Schema für alternative App-Stores.
/ Martin Böckmann
34 Kommentare News folgen (öffnet im neuen Fenster)
Apple Safari soll in der EU das Tracking seiner Nutzer vereinfachen. (Bild: Jakub Porzycki via Reuters Connect)
Apple Safari soll in der EU das Tracking seiner Nutzer vereinfachen. Bild: Jakub Porzycki via Reuters Connect

Der iOS-Entwickler Mysk hat ein Video veröffentlicht(öffnet im neuen Fenster) , in dem er die Möglichkeit des Cross-Site-Trackings von iOS-Geräten in der EU über den Safari-Browser demonstriert. Verantwortlich dafür soll ein neues URI-Schema sein, das die Installation von alternativen App-Stores von einer Webseite ermöglicht. Safari führt auch dann Marketplace Kit aus, wenn die Webseite gar nicht zu dem App-Store gehört.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
IT-Administrator (m/w/d) Telekommunikation Leipziger Messe GmbH, Leipzig (öffnet im neuen Fenster)
Softwaretester - Testautomatisierer (m/w/d) dbh Logistics IT AG, Bremen (öffnet im neuen Fenster)
Marketing Platform Manager (w|m|d) - Google Marketing Platform ADAC SE, München (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) AWO Kreisverband Frankfurt am Main, Frankfurt am Main (öffnet im neuen Fenster)
Leitung des Servicebündel Beratung (m/w/d) Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf (öffnet im neuen Fenster)
Projektleitung Digitalisierungsprojekte (m/w/d) Landeshauptstadt Stuttgart, Stuttgart (öffnet im neuen Fenster)
Zahntechniker für Verblendkeramik, CAD/CAM (m/w/d) Dr. Bernd Kilimann und Kollegen, Haigerloch (öffnet im neuen Fenster)

Nur zehn Zeilen Code sorgen dafür, dass Marketplace Kit im Anschluss versucht, einen alternativen App-Store zu downloaden. Dies scheitert zwar bereits an der Autorisierung und wird mit HTTP-Code 500 " Internal Server Error " quittiert, im POST-Request von Safari ist aber eine eindeutig identifizierbare Client-Id enthalten.

Solange die Attribute " adpURL " und " storeAccountName " einem zugelassenen Marktplatz entsprechen, schickt Marketplace Kit die besagte Client-Id ohne weitere Autorisierung. Auch JWT-Tokens würden laut Mysk nicht validiert und weitergegeben.

Nur Nutzer in der EU betroffen

Die gesendete Id bleibt dabei auch bei unterschiedlichen Webseiten immer gleich, so dass sich diese lediglich untereinander austauschen müssen, um Geräte über mehrere Webseiten nachverfolgen zu können. Die geschieht auch, wenn Safari im Inkognito-Modus ist. Andere Browser blockieren den Kontaktversuch und senden den POST-Request samt Payload mit Client-Id nicht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Da Apple nur innerhalb der EU verpflichtet ist, alternative App-Stores anzubieten, und spezielle Anpassungen nur für diese Region vorgenommen hat, funktioniert der Angriff in anderen Regionen nach bisherigem Kenntnisstand nicht. Wirksamen Schutz bieten aktuell nur andere Browser.

Zur Startseite 34 Kommentare

Relevante Themen

Mobile EndgeräteSecuritySicherheitslückeDatensicherheitAppleServeriPhoneSafariHackeriOS