Apple geht mit der Nutzung der Ortungsfunktion des iPhone durchaus offen und transparent um. Vor allem im Vergleich mit anderen Herstellern. Dennoch wird sich der eine oder andere Nutzer vermutlich schon einmal gefragt haben, warum eigentlich der kleine Pfeil, der die Nutzung der GPS-Daten durch eine App oder das System in der Statusleiste unter iOS signalisiert, in dieser oder jener Situation dort auftaucht. Nun hat sich ein Sicherheitsforscher dieser Frage einmal angenommen und dabei entdeckt, dass das iPhone sehr wohl im Hintergrund den aktuellen Standort ermittelt, auch wenn dies für die gerade laufende App oder auch für verschiedene Systemfunktionen eigentlich in den Datenschutzeinstellungen des Geräts deaktiviert ist.

Der angesprochene Sicherheitsforscher Brian Krebs hat seine Entdeckungen auf KrebsOnSecurity veröffentlicht und auch das unten eingebettete Video erstellt, welches das merkwürdige Verhalten in bewegten Bildern zeigt. Die einzige Möglichkeit, den Zugriff auf den Standort zu unterbinden ist, dies komplett in den Einstellungen zu deaktivieren, was offenbar noch einmal einen anderen Effekt hat als das Deaktivieren der einzelnen Schalter für Apps und Systemfunktionen.

YouTube Direktlink

Inzwischen hat auch Apple auf die Meldung reagiert und spricht in einer Stellungnahme von einem normalen Verhalten ("expected behavior"). So können bestimmte Systemfunktionen vom Nutzer nicht einzeln gesteuert werden, wodurch auch bestimmte dieser Funktionen im Hintergrund Zugriff auf den Standort erhalten. Immerhin stellt Apple auch diese Zugriffe transparent durch die Einblendung des entsprechenden Symbols in der Statusleiste dar.

"We do not see any actual security implications. It is expected behavior that the Location Services icon appears in the status bar when Location Services is enabled. The icon appears for system services that do not have a switch in Settings."

Eine der von Apple in diesem Zusammenhang angesprochenen Funktionen, die mir dabei in den Sinn kommt, ist das Ermitteln der Standortdaten zum Zwecke des Befüllens der eigenen Datenbank von Standorten von WLANs und Mobilfunkmasten. Diese Informationen werden von Apple in verschlüsselter und anonymisierter Form gesammelt, um über eine Dreieckspeilung eine noch genauere Standortermittlung vornehmen zu können. Apple schreibt hierzu in seinem zugehörigen Support-Dokument:

Sind die Ortungsdienste aktiviert, sendet dein iPhone in regelmäßigen Abständen die per Geotagging markierten Positionen von nahegelegenen WLAN-Hotspots und Mobilfunkmasten (sofern von einem Gerät unterstützt) in anonymisierter und verschlüsselter Form an Apple, um die Crowdsourcing-Datenbank mit den WLAN-Hotspot- und Mobilfunkmastenpositionen zu erweitern.

Bereits vor wenigen Tagen wurde bekannt, dass der russische Präsident Putin wohl ein neues Gesetz unterzeichnen wird, welches künftig Hersteller von Smartphones, Computern, Tablets oder auch Smart TVs dazu verpflichtet, russische Apps auf den im Land vertriebenen Geräten vorzuinstallieren. Aus diesem Bericht ist heute nun ein Fakt geworden und das entsprechende Gesetz wurde unterzeichnet, wie Reuters berichtet. Nach offiziellen Angaben soll das Gesetz vor allem die lokalen Wirtschaft dabei unterstützen, mit ausländischen IT-Konzernen besser konkurrieren zu können. Datenschützer haben jedoch bereits größere Bedenken angemeldet, dass auf diese Weise Überwachungs-Apps auf die Geräte geschleust werden sollen, was dazu führen könnte, dass sich manche Hersteller komplett aus dem Markt zurückziehen. Kommt ein Hersteller der Installation der geforderten Apps nicht nach, werden seine Geräte für den russischen Markt ab Juli 2020 ohnehin nicht mehr zugelassen, wie BBC News beriets berichtete.

Es wird zudem davon ausgegangen, dass die vorinstallierten Apps keine Prüfungen durchlaufen müssen, wie dies Beispielsweise bei der Zulassung für den iOS AppStore der Fall ist. Dem Einbau irgendwelcher Hintertüren und sonstiger Spionagesoftware wäre in diesem Falle also Tür und Tor geöffnet. Dies ruft natürlich auch Apple auf den Plan, wo man ja bekanntermaßen sehr viel Wert auf den Datenschutz bei seinen Nutzern legt. Entsprechend hat ein Unternehmenssprecher gegenüber der russischen Publikation The Bell (Google-Übersetzung) bereits zu Protokoll gegeben, dass das Gesetz vergleichbar mit einem Jaibreak der Apple-Geräte sei: "A mandate to add third-party applications to Apple's ecosystem would be equivalent to jailbreaking. It would pose a security threat, and the company cannot tolerate that kind of risk."

Der Moscow Times zufolge wird die russische Regierung in Kürze eine Liste von Apps und Software veröffentlichen, die künftig auf den Geräten vorinstalliert sein müssen, möchte man seine Geräte weiter in Russland vertreiben. Auch zu diesen Geräten soll es dann eine entsprechende Liste geben.

Nachdem Apple sich bereits in China außerordentlich schwer tut, könnte mit Russland demnächst ein weiterer Markt hinzukommen, in dem Apple auf Probleme stößt. So wird dort ab dem kommenden Jahr ein Gesetz greifen, nachdem jedes Smartphone, jeder Computer und sogar jedes Smart TV mit vorinstallierten russischen Apps ausgeliefert werden müssen. Während dies vor allem mit der Unterstützung der lokalen Wirtschaft begründet wird, haben Datenschützer größte Bedenken, dass auf diese Weise Überwachungs-Apps auf die Geräte geschleust werden sollen, was dazu führen könnte, dass sich manche Hersteller komplett aus dem Markt zurückziehen. Als erstes käme einem dabei natürlich Apple in den Sinn, wo man ja bekanntermaßen sehr viel Wert auf den Datenschutz bei seinen Nutzern legt. Kommt ein Hersteller der Installation der geforderten Apps nicht nach, werden seine Geräte für den russischen Markt ab Juli 2020 nicht mehr zugelassen, wie BBC News berichtet.

Es wird zudem davon ausgegangen, dass die vorinstallierten Apps keine Prüfungen durchlaufen müssen, wie dies Beispielsweise bei der Zulassung für den iOS AppStore der Fall ist. Dem Einbau irgendwelcher Hintertüren und sonstiger Spionagesoftware wäre in diesem Falle also Tür und Tor geöffnet.

Jepp, wir haben mal wieder einen aus der Ecke "das meinen die doch nicht ernst". Der Webentwickler Joshua Maddux hat ein bemerkenswertes "Phänomen" in der Facebook-App unter iOS entdeckt. Hat man der App den Zugriff auf die Kamera erlaubt, ist diese auf der Rückseite des iPhone aktiv, wenn man sich innerhalb der App durch seinen Newsfeed scrollt, wie das Video im unten eingebetteten Tweet zeigt. Maddux konnte dies auf fünf unterschiedlichen Geräten nachstellen und auch die Kollegen von TNW haben das Problem inzwischen bestätigt. Bestätigt ist dies bislang für alle Betriebssystemversionen von iOS 12.4.1 bis hin zum aktuellen iOS 13.2.2.

Found a @facebook #security & #privacy issue. When the app is open it actively uses the camera. I found a bug in the app that lets you see the camera open behind your feed. Note that I had the camera pointed at the carpet. pic.twitter.com/B8b9oE1nbl

— Joshua Maddux (@JoshuaMaddux) 10. November 2019

Derzeit gehen die meisten Beobachter davon aus, dass es sich eher um einen Bug als um ein beabsichtigtes Verhalten der App handelt. Allerdings muss man sich schon die Frage stellen, wie die rückwärtige Kamera des iPhone "zufällig" aktiv werden kann, ohne dass sie explizit genutzt werden soll. Bislang liegt noch keine Stellungnahme seitens Facebook vor. Wer sich allerdings Sorgen um das Verhalten der App macht, sollte der Kamera kurzerhand den Zugriff auf die Kamera in den Geräteeinstellungen untersagen.

Seit mehreren Jahren schon bewirbt Apple das iPhone immer wieder auch bezüglich seiner Vorzüge in Sachen Datenschutz und Privatsphäre. Dieser Strategie wird nun mit einer für das iPhone 11 und iOS 13 aktualisierten Webseite zu dem Thema neues Leben eingehaucht. Darauf erhält man auf thematisch sortierten Kacheln unter anderem auch Zugriff auf verschiedene Whitepapers dazu, wie Apple das Thema Datenschutz in Safari, Sign in with Apple, Fotos, Nachrichten, Karten oder auch den ortsbezogenen Diensten umsetzt. Dabei setzt Apple auch weiterhin auf seine vier Kernprinzipiel

• minimale Sammlung von Nutzerdaten
• lokale Verarbeitung von Daten direkt auf dem Gerät
• transparentes Vorgehen bei Datensammung und -nutzung
• Nutzung starker Geräteverschlüsselung

Der Webseite zufolge hat Apple in iOS 13 weitere Datenschutzmaßnahmen ergriffen:

• Kontakte: Notizen, die zu den Kontakten gespeichert wurden, werden auch dann nicht an Drittanbieter-Apps weitergegeben, wenn man diesen Zugriff auf die Kontakte gewährt hat.
• Find My: Apple nutzt Ende-zu-Ende Verschlüsselung für die Kommunikation zwischen in der Nähe befindlichen Apple-Geräten, um verlorene iPhones und Macs aufzufinden. Hierdurch kennen sich die Geräte niemals untereinander.
• Apple Arcade: In den teilnehmenden Spielen sind keine Werbung oder Tracking-Maßnahmen gestattet.
• Hintergrundnutzung von Positionsdaten: iPhone-Nutzer erhalten nun regelmäßig Informationen darüber, wenn eine App die Position im Hintergrund genutzt hat, inkl. der Möglichkeit, diese Berechtigung zu entziehen.

Wer sich für das Thema Datenschutz allgemein und vor allem auch Apples Maßnahmen in diesem Bereich im Detail interessiert, sollte der aktualisierten Webseite zu dem Thema definitiv einmal einen Besuch abstatten.

Okay, das ging recht schnell. Nach den zurecht besorgten Nutzerreaktionen auf Apples Praxis, zur Umsetzung der Datenschutzfunktionen in Safari Daten neben Google auch an den chinesischen Anbieter Tencent zu versenden, der enge Verbindungen zur chinesischen Regierung pflegt, hat sich das Unternehmen nun zu der Thematik offiziell geäußert. Die Kernaussage dabei: Webseiten-URLs werden zur Überprüfung nicht an die beiden Unternehmen gesendet und Tencent ist ausschließlich dann beteiligt, wenn sich das zugreifende Gerät auf dem chinesischen Festland (ohne Hongkong) befindet. Demnach gelangt der chinesische Staatskonzern nicht in Besitz irgendwelcher Informationen von Nutzern außerhalb Chinas. Der Datenaustausch findet stattdessen in umgekehrter Richtung statt. So erhält Safari von den beiden Anbietern regelmäßig eine aktualisierte Liste von betrügerischen Webseiten, gegen die der URL-Aufruf dann auf dem Gerät geprüft wird. Apples Statement:

Apple protects user privacy and safeguards your data with Safari Fraudulent Website Warning, a security feature that flags websites known to be malicious in nature. When the feature is enabled, Safari checks the website URL against lists of known websites and displays a warning if the URL the user is visiting is suspected of fraudulent conduct like phishing.

To accomplish this task, Safari receives a list of websites known to be malicious from Google, and for devices with their region code set to mainland China, it receives a list from Tencent. The actual URL of a website you visit is never shared with a safe browsing provider and the feature can be turned off.

Die Liste der Anbieter enthält dabei auch keine URLs im klassischen Sinne, sondern lediglich sogenannte Hashwerte, aus denen sich auch nicht auf die URLs rückschließen lässt. Passt beim Aufruf einer URL in Safari zu einem Hashwert in der Liste, fragt Safari beim Anbieter die komplette Liste von URLs an, zu denen dieser Hashwert passt. Bei der Kommunikation zwischen dem Gerät und dem Google-Server, die für den Erhalt der Listen notwendig ist, sieht Google natürlich auch die IP-Adresse des Geräts auf das die Liste geladen werden soll. Dies ist bei der Kommunikation in Netzwerken allerdings nicht nut normal, sondern auch Grundlage der Kommunikation.

Wie Apple selbst auch anmerkt, kann diese Funktion deaktiviert werden. Dies geschieht in den Safari-Einstellungen, indem man den Schalter "Betrugswarnung" deaktiviert. Wie angemerkt, würde ich hiervon allerdings abraten, da die Funktion durchaus ihre Daseinsberechtigung hat. Apples Informationspolitik in diesem Zusammenhang lässt allerdings weiter zu wünschen übrig.

Apples Umgang mit China schlägt aktuell jede Menge hohe Wellen. Aktuell sorgt dabei eine eine Praxis für Schlagzeilen, die Apple bereits seit einiger Zeit im Zuge seiner Datenschutzfunktionen von Safari umsetzt, allerdings kürzlich um einen im Zuge der China-Diskussion als grenzwertig zu betrachtenden Dienstleister erweitert hat. Öffnet man die Safari-Einstellungen auf dem iPhone, findet man hier einen kleingedruckten Link "Über Safari & Datenschutz", hinter dem sich der nicht uninteressante Hinweis befindet, dass Apple für die Funktion "Betrugswarnung" in Safari Daten an Google, aber auch an den chinesischen Anbieter Tencent versendet, der enge Verbindungen zur chinesischen Regierung pflegt. Konkret heißt es dort:

Wenn die Option "Betrugswarnung" aktiviert ist, zeigt Safari eine Warnung an, wenn vermutet wird, dass die besuchte Website eine Phishing-Site ist. [..] Vor dem Öffnen einer Website sendet Safari möglicherweise Informationen zu dieser Website an Google Safe Browsing und Tencent Safe Browsing, um sicherzustellen, dass die Website legitim ist. Anbieter, die privates Surfen ermöglichen, können auch deine IP-Adresse protokollieren.

Nun ist die Betrugswarnungs-Funktion in Safari eine durchaus willkommene Option, um sich auf Basis großer Datenbanken von Internetkonzernen vor manipulierten oder schadhaften Webseiten warnen zu lassen. Dass dabei Informationen an die angesprochenen Konzerne übertragen werden müssen, sollte auch klar sein. Problematisch ist allerdings mal wieder die mangelhafte Kommunikationspolitik hierzu aus Cupertino. Die Erklärungen zu der Funktion hinter einem kleingeschriebenen Link irgendwo in den Einstellungen des iPhone zu verstecken wirft da kein gutes Licht auf die Informationspolitik. Dass sich zu Google nun auch noch Tencent hinzugesellt, ist dabei eigentlich eher zweitrangig. Grundsätzlich ist davon auszugehen, dass dieser Anbieter nur für Anfragen aus chinesischen Netzwerken herangezogen wird. Mit Sicherheit sagen lässt sich dies auf Basis des Info-Textes allerdings nicht.

Apple stand in den vergangenen Monaten bereits des Öfteren wegen der grenzwertigen Informationspolitik in der Kritik, was vor allem vor dem Hintergrund bedenklich ist, da sich das Unternehmen ja in der Vergangenheit immer wieder als Schützer von Nutzerdaten dargestellt hat. Hierzu sollte auch eine entsprechende Transparenz im Umgang mit diesen Daten gehören. Man macht also erneut denselben Fehler, den man auch bereits bei der Auswertung von Siri-Anfragen durch externe Vertragsnehmer gemacht hat. Ein Lerneffekt aus diesem PR-Debakel ist allerdings nicht wirklich zu erkennen und man darf gespannt sein, wie man in Cupertino auf die erneuten Anschuldigungen reagieren wird.

UPDATE: Inzwischen hat sich Apple zu der Thematik offiziell in einer Stellungnahme geäußert.

Facebook steht mal wieder in den Negativ-Schlagzeilen und natürlich geht es dabei um das Thema Datenschutz. So entdeckten Sicherheitsforscher eine ungeschützt über das Internet abrufbare Datenbank mit den Telefonnummern von mehr als 419 Millionen Facebook-Nutzern (via TechCrunch). Zwar beteuert das Unternehmen, dass hierdurch keine Nutzerkonten kompromittiert wurden, das Problem wird dadurch allerdings nicht kleiner. Inzwischen wurde die Datenbank aus dem Netz entfernt. Laut Facebook-Sprecher Jay Nancarrow stammt die Datenbank von einer inzwischen nicht mehr existenten Facebook-Funktion über die es möglich war, Nutzer auf Basis ihrer Telefonnummer zu finden. Facebook hatte diese Funktion im Zuge des Cambridge Analytica Skandals deaktiviert.

"This dataset is old and appears to have information obtained before we made changes last year to remove people's ability to find others using their phone numbers. The dataset has been taken down and we have seen no evidence that Facebook accounts were compromised."