In einem WWDC-Entwicklervideo hat Apple nun genauer erklärt, welchen Schutz das neue iCloud Private Relay den Nutzern bieten wird und wie genau es funktioniert, um die Privatsphäre zu erhöhen.
Das auf der WWDC-Keynote 2021 angekündigte iCloud Private Relay ist eine neue Funktion für Apple-Nutzer, die verhindern soll, dass Drittanbieter die Surfgewohnheiten der Nutzer ermitteln. Es wird nicht in allen Ländern verfügbar sein. Doch für die, in denen es verfügbar ist, hat Apple ein System entwickelt, das laut eigenen Angaben die Nutzer in hohem Maße schützt aber nicht gleichzeitig ihr Internet verlangsamt. So erklärt Tommy Pauly, aus Apples Internet Technologies Group Team:
Wenn jemand auf das Internet zugreift, kann jeder in seinem lokalen Netzwerk die Namen aller Webseiten sehen, auf die er zugreift, basierend auf der Inspektion von DNS-Anfragen. Diese Informationen können verwendet werden, um einen Fingerabdruck eines Benutzers zu erstellen und eine Historie seiner Aktivitäten über die Zeit zu erstellen. Niemand sollte in der Lage sein, all diese Informationen stillschweigend zu sammeln, egal ob es sich um einen öffentlichen WiFi-Betreiber, einen anderen Benutzer im Netzwerk oder einen Internet-Service-Provider handelt.
„Das sind große Probleme für die Privatsphäre der Nutzer“
Pauly beschreibt auch, wie Server die IP-Adresse eines Benutzers einsehen können, wenn dieser auf eine Webseite zugreift. Dabei erklärt er, was diese Server mit „Fingerabdrücken der Benutzeridentität“ über verschiedene Webseiten hinweg machen können.
Das sind große Probleme für die Privatsphäre der Nutzer und um sie zu beheben, brauchen wir einen neuen Ansatz, bei dem die Privatsphäre von vornherein eingebaut ist. iCloud Private Relay fügt mehrere sichere Proxys hinzu, die dabei helfen, den Benutzerverkehr zu routen und privat zu halten. Die Proxys werden von separaten Einheiten betrieben. Eine ist Apple und eine ist ein Inhaltsanbieter.
Apple sagt nicht, welche Firma oder Firmen die andere Entität sind. Delziel Fernandes, ebenfalls von Apples Internet Technologies Group, spricht stattdessen nur von sogenannten Ingress-Servern, die von Apple betrieben werden und Egress-Servern, die von anderen Firmen betrieben werden.
Wenn ein Gerät versucht, auf einen Server zuzugreifen, baut es zunächst eine Netzwerkverbindung zum Ingress-Proxy auf. Diese Verbindung wird über eine IP-Adresse aufgebaut, die vom Netzwerk-Provider zugewiesen wird … [und der] Egress-Proxy leitet diese Anfragen dann an die Zielserver weiter, indem er eine IP-Adresse wählt, die der Stadt oder Region des Geräts zugeordnet ist.
Für den Benutzer bedeutet dies, dass Apple nicht nachverfolgt, auf welche Webseiten er zugreift. Weder das Unternehmen, das den Egress-Server betreibt, noch die Ziel-Webseite können die Identität in irgendeiner Weise nachverfolgen.
Welcher Web- und Netzwerkverkehr wird durch iCloud Private Relay geschützt?
Es wird jedoch nicht der gesamte Internetverkehr abgedeckt. Apple sagt, dass iCloud Private Relay für Folgendes gelten wird:
- Das gesamte Safari-Webbrowsing
- Alle DNS-Anfragen bei der Eingabe von Site-Namen
- Sämtlichen unsicheren HTTP-Verkehr
Welcher Web- und Netzwerkverkehr wird nicht durch iCloud Private Relay geschützt?
Hierzu erklärt Apple, dass es auch für „eine kleine Teilmenge des Datenverkehrs von Apps“ gelten wird. Es wurden jedoch auch mehrere Kategorien von Internetverkehr aufgeführt, die nicht durch iCloud Private Relay geschützt werden:
- Lokale Netzwerkverbindungen
- Private Domain-Namen-Abfragen
- Datenverkehr über ein reguläres VPN
- Internetverkehr über einen Proxy
Die Funktionsweise ähnelt im Grunde der eines VPNs. Doch iCloud Private Relay ist nicht als VPN der Marke Apple zu verstehen. Apple sagt, dass das Private Relay garantiert, dass Benutzer das System nicht nutzen können, um vorzugeben, aus einer anderen Region zu kommen. Dies ermöglicht es Entwicklern, regionenbasierte Zugangsbeschränkungen durchzusetzen.
iCloud Private Relay: Apple-Nutzer haben die Wahl
Es gibt Funktionen, auf die Entwickler innerhalb von iCloud Private Relay zugreifen können, die bedeuten, dass sie nach dem spezifischen Standort eines Benutzers fragen können – wenn der Benutzer es erlaubt und wenn die App es erfordert. Aber ansonsten werden die Standortdaten durch den Egress-Server festgelegt. Dieses dritte und vermutlich vertrauenswürdige Unternehmen fügt eine IP-Adresse hinzu, „die der Stadt oder Region des Geräts zugeordnet ist.“ So erhält eine Webseite oder ein Dienst einige Standortdaten und sie sind im Großen und Ganzen richtig, sie sind korrekt genug, um nützlich zu sein, z. B. für einen Laden, der seine Preise in der richtigen Währung anzeigt oder für die Inhaltszuordnung nach Geografie. Das neue iCloud Private Relay soll zusammen mit macOS Monterey, iOS 15 und iPadOS 15 eingeführt werden. Es wird ein iCloud+-Abonnement erfordern und Nutzer können entscheiden, ob Private Relay aktiviert oder deaktiviert sein soll. Abschließend erklärt Pauly:
Private Relay ist in iOS und macOS eingebaut, Entwickler müssen also nichts tun, um es in der eigenen App zu übernehmen. Es ist auch wichtig zu verstehen, dass es sich nicht immer auf die eigene App auswirken wird. Es wird nur gelten, wenn ein Benutzer über ein iCloud+-Abonnent verfügt und Private Relay aktiviert hat.
iOS 15, iPadOS 15, macOS Monterey, watchOS 8 und tvOS 15 werden im Herbst diesen Jahres ausgerollt. Alle Updates werden Apple zufolge im Juli als öffentliche Beta zur Verfügung gestellt. (Bild: Apple)
