Es ist eine Änderung, die von Apple im Stillen vorgenommen wurde und sicherlich gut gemeint war – doch besser wäre eine Ankündigung gewesen.
Wie viele wissen, enthält Safari das Feature „Betrugswarnung“. Ist die Funktion aktiviert, so warnt sie Nutzer vor Phishing-Seiten. Um derartige Webseiten zu erkennen, findet ein Datenaustausch mit „Google Safe Browsing“ statt. Dabei werden die Daten der aufgerufenen Webseite sowie IP-Adresse der iPhone-Nutzer versendet. Doch nun soll ein weiteres Unternehmen hinzugezogen worden sein. Die Rede ist vom chinesischen Konzern Tencent. Die stille Neuerung in iOS ist sicherlich gut gemeint und dient dabei zum Schutz der iPhone-Nutzern – doch Apple hätte dies offen kommunizieren sollen. Apple verwendet seit vielen Jahren Googles Safe Browsing-Technologie um iPhone-Nutzer vor betrügerischen Webseiten zu schützen und das mit Erfolg. Schlägt das System von Google an, so wird dem Anwender in Safari eine Warnung angezeigt – dabei wird der Nutzer darauf hingewiesen, die Seite nicht zu besuchen – dieser kann anschließend umkehren oder wahlweise fortfahren.
„Google Safe Browsing“ & „Tencent Safe Browsing“
Unter iOS 13 wurde die Funktion jedoch wie nun bekannt geworden ist, erweitert – zum Nachteil für Apple. Demnach nutzt das Feature „Betrugswarnung“ fortan „Google Safe Browsing“ und „Tencent Safe Browsing“. Das heißt, Daten der iPhone-Nutzer könnten also auch nach China versendet werden. So schreibt Apple in der aktualisierten Datenschutzerklärung:
„Vor dem Öffnen einer Website sendet Safari möglicherweise Informationen zu dieser Website an Google Safe Browsing und Tencent Safe Browsing, um sicherzustellen, dass die Website legitim ist. Anbieter, die privates Surfen ermöglichen, können auch deine IP-Adresse protokollieren“.
„Google verfügt über entsprechende Schutzmaßnahmen“
Dem Professor und Kryptograph Matthew Green zufolge kann die Funktion durchaus problematisch sein, da sie neben den Daten der Webseite auch die IP-Adresse verschickt und ein Cookie setzt. Dies ermöglicht die Erstellung eines Profils über das allgemeine Surfverhalten des jeweiligen Nutzers. Datenschützer finden die Änderung insofern bedenklich, da nun auch China in Besitz solcher Informationen gelangen kann. Doch es gibt Hinweise, wonach solche Daten nur dann an Tencent versendet werden wenn iPhone-Nutzer ihre Region auf China eingestellt haben – dafür gibt es jedoch bislang keine handfesten Beweise. Bei Google ist man jedoch in dieser Hinsicht weniger skeptisch, da der Konzern über entsprechende Schutzmaßnahmen verfügt. Green erklärt diese wie folgt:
„Google hat sich schnell einen sichereren Ansatz für das „sichere Surfen“ ausgedacht. Der neue Ansatz heißt „Update API“ und funktioniert so:
- Google berechnet zunächst den SHA256-Hash jeder unsicheren URL in seiner Datenbank und kürzt jeden Hash auf ein 32-Bit-Präfix um Platz zu sparen.
- Google sendet die Datenbank mit den gekürzten Hashes an Ihren Browser.
- Bei jedem Besuch einer URL wird diese von Ihrem Browser gehasht und überprüft ob ihr 32-Bit-Präfix in Ihrer lokalen Datenbank enthalten ist.
- Wenn das Präfix in der lokalen Kopie des Browsers gefunden wird, sendet Ihr Browser das Präfix nun an die Server von Google, die eine Liste aller vollständigen 256-Bit-Hashes der übereinstimmenden URLs zurückliefern, damit Ihr Browser nach einer genauen Übereinstimmung suchen kann“.
Demnach soll Google nicht wirklich wissen, welche Webseite konkret im Einzelfall besucht werden soll. So schreibt Green weiter:
„Der typische Benutzer besucht nicht nur eine einzelne URL, sondern durchsucht im Laufe der Zeit Tausende von URLs. Das bedeutet, dass ein bösartiger Anbieter viele „Bisse am Apfel“ (kein Wortspiel beabsichtigt) haben wird, um diesen Benutzer zu de-anonymisieren. Ein Benutzer, der viele verwandte Websites – zum Beispiel diese Websites – besucht, wird allmählich Details über seinen Browserverlauf an den Anbieter weitergeben, vorausgesetzt, der Anbieter ist bösartig und kann die Anfragen verlinken“.
Doch Tencent ist nicht Google – und Nutzer müssen nun das in Google gesetzte Vertrauen auf einen chinesischen Konzern ausdehnen. Das große Problem dabei ist, dass Apple seine Kunden nicht darüber in Kenntnis gesetzt hat. Green zufolge wird es für Apple schwer sein diesen Schritt zu erklären, da es nun mal im Stillen passiert ist – das lässt viele Beobachter aufhorchen. Cupertino hat sich bislang nicht zu dem Thema geäußert – entsprechende Anfragen wurden bereits von diversen US-Medien an den Konzern gestellt.
Ob und wann ein offizielles Statement erscheint, bleibt abzuwarten. Wer bis dahin das Feature „Betrugswarnung“ nicht verwenden möchte, kann die standardmäßig aktivierte Funktion selber ausschalten. Und das geht so: Öffne die iOS-Einstellungen und navigiere den Menüpunkt „Safari“ an. Anschließend findest du im Abschnitt „Datenschutz & Sicherheit“ die Funktion „Betrugswarnung“. (Photo by World Image / Bigstockphoto)
