Wie soeben vermeldet, hat Apple am heutigen Abend neue Betaversionen von iOS/iPadOS 14 veröffentlicht und es geht langsam aber sicher in den Endpsurt bis zur Bereitstellung der finalen Version für alle Nutzer. Dann fehlen wird allerdings zunächst ein prominentes und groß angekündigtes neues Feature des neuen Betriebssystems. Die Rede ist dabei von den neuen Anti-Tracking Funktionen, über die sich zuletzt vor allem Facebook lautstark beschwert hatte. Zunächst hatten die Kollegen von The Information berichtet, dass Apple die neue Funktion verschieben wird, inzwischen wurde dies vom Unternehmen selbst auch offiziell bestätigt.

Diverse Entwickler hatten sich offenbar beschwert, nicht genügend Zeit bekommen zu haben, um die benötigten Veränderungen in Sachen Monetarisierung und Werbung umsetzen zu können. Dem Wunsch nach einer Verlängerung ist Apple nun offenbar nachgekommen und wird das Anti-Tracking Anfang kommenden Jahres nachreichen. Gegenüber TechCrunch erklärt Apple:

We believe technology should protect users’ fundamental right to privacy, and that means giving users tools to understand which apps and websites may be sharing their data with other companies for advertising or advertising measurement purposes, as well as the tools to revoke permission for this tracking. When enabled, a system prompt will give users the ability to allow or reject that tracking on an app-by-app basis. We want to give developers the time they need to make the necessary changes, and as a result, the requirement to use this tracking permission will go into effect early next year.

Mit iOS 14 wird Apple abermals neue Technologien einführen, die ein Tracking des Nutzers deutlich erschweren. Entsprechend wenig erfreut sind natürlich genau die Dienstleister, deren Geschäftsmodell auf eben diesem User-Tracking und dem sdarauf aufsetzenden Verkaufen von Werbung basiert. Facebook ist hierbei natürlich in vorderster Front zu nennen. Und genau von dort kommt nun auch entsprechende Kritik an Apples Maßnahmen. So warnt man bei Facebook aktuell davor, dass Apples neue Anti-Tracking Tools den Umsatz über personalisierte Werbung auf seiner Plattform um mehr als 50% einbrechen lassen könnten.

In einem zugehörigen Blogpost erklärt Facebook, dass man ab iOS 14 nicht mehr auf die entsprechenden Identifier zugreifen kann, die man bislang nutzte, um ein Cross-App und Cross-Site Tracking der Nutzer zum Zwecke der Werbung zu ermöglichen. Durch Apples neue Maßnahmen würde man hierzu gezwungen.

This is not a change we want to make, but unfortunately Apple's updates to iOS14 have forced this decision. We know this may severely impact publishers' ability to monetize through Audience Network on ?iOS 14?, and, despite our best efforts, may render Audience Network so ineffective on ?iOS 14? that it may not make sense to offer it on ?iOS 14? in the future.

Facebook warnt dann auch davor, dass das Update auf iOS 14? Facebooks Audience Network quasi unbrauchbar machen könnte und man dieses Werbenetzwerk möglicherweise künftig überhaupt nicht mehr auf dieser Plattform anbieten könne.

Apple führt mit iOS 14 in den Einstellungen im Bereich Datenschutz eine neue Tracking-Sektion ein, in der der Nutzer den Apps die Erlaubnis geben oder entziehen kann, ihn zu tracken. Selbst wenn dieser Schalter auf "erlauben" steht, müssen Apps immer noch nachfragen, ob der Nutzer das Tracken erlauben möchte oder nicht. Vor allem für das oben angesprochene Cross-App und Cross-Site Tracking dürfte dies ein herber Schlag sein.

Das Thema Datenschutz ist schon spannend. Die halbe Welt (inkl. mir selbst) zeigt mit dem Finger auf Facebook, WhatsApp und Google und trotzdem werden die Dienste weiter fröhlich genutzt. Komfort und Funktionalität schlagen dann eben doch immer wieder die Bedenken in Sachen Datenschutz. Anfang des Jahres entdeckten zwei Sicherheitsforscher dann, dass verschiedene Apps heimlich die Zwischenablage von iOS auslesen und somit Zugriff auf die darin lagernden Informationen haben, bei denen es sich auch um Passwörter oder Kreditkarteninformationen handeln könnte. Mit iOS 14 wird Apple hier eine neue Funktion anbieten, die den Nutzern einen Hinweis anzeigt, wenn dies geschieht. Seit die erste Beta des neuen Betriebssystems in Umlauf ist, wird das Ausmaß des Ausnutzens der Lücke überhaupt erst bekannt.

So musste die dieser Tage extrem beliebte Video-App TikTok bereits einräumen, dass man die Zwischenablage ausgelesen hat, ohne den Nutzer hierüber zu informieren. Man begründete dies mit einer Maßnahme gegen Spam, hat aber inzwischen bereits ein Update veröffentlicht, welches die Vorgehensweise nicht länger fortführt. Auch Twitter, Starbucks, Overstock oder AccuWeather wurden bereits beim Schnüffeln in der Zwischenablage erwischt. Nun ist eine weitere hochrangige App bekannt geworden, die sogar bei jedem Anschlag auf der virtuellen iPhone-Tastatur auf die Zwischenablage zugreift: Das berufliche Netzwerk LinkedIn.

LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.

I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.

Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF

— Don ???????????????? urspace.io (@DonCubed) July 2, 2020

In einem Statement gegenüber ZDNet erklärte LinkedIn bereits, dass es sich bei dem Auslesen um einen "Bug" handeln würde. Die ausgelesenen Inhalte werden nicht gespeichert oder auf die LinkedIn-Server übertragen. Man arbeite bereits an einem Update, welches das Auslesen künftig abschaltet.

Glaubwürdigkeit hin oder her, das Traurige an der ganzen Geschichte ist letzten Endes, dass die Unternehmen ihre Praktiken so lange durchführen, bis sie dabei erwischt werden. Wie gesagt, die Lücke wurde bereits Anfang des Jahres bekannt und zumindest bei TikTok hat ja bereits zugegeben, dass man sie bewusst ausgenutzt hat. Aus Entwicklersicht kann ich mir beim besten Willen auch nicht vorstellen, dass die LinkedIn-Vorgehensweise "aus Versehen" oder als "Bug" implementiert wurde. Und dennoch dauerte es bis zur Veröffentlichung der ersten Beta von iOS 14 und damit der öffentlichen Enttarnung, bis man endlich reagierte.

Zugegeben, zuletzt gab es nicht mehr ganz so viele haarsträubende Datenschutz-Probleme beim weltgrößten sozialen Netzwerk Facebook. Nun ist es aber mal wieder soweit. Wie das Unternehmen inzwischen offiziell bestätigt hat waren zuletzt tausende externe Entwickler in der Lage, auf Daten von inaktiven Nutzern zuzugreifen. Nach dem Cambridge Analytica Skandal vor zwei Jahren hatte Facebook eigentlich neue Richtilinien erlassen, durch die eine solche Situation unterbunden werden sollte und die Entwickler daran hindern sollte, auf Daten zuzugreifen, die Facebook seit drei Monaten nicht mehr genutzt haben. Diese Richtlinien scheinen nicht wirklich gegriffen zu haben.

Wie Engadget anmerkt, hat sich Facebook nicht dazu geäußert, wie lange die Lücke bereits bestand und wie viele Nutzer von ihr betroffen sind. Das Unternehmen teilte lediglich mit, dass sie behoben wurde, sobald man Kenntnis von ihr erlangt hatte und dass auf keine Daten zugegriffen werden konnte außer auf die, die der Nutzer freigegeben hatte, während er noch auf Facebook aktiv war.

Anfang des Jahres haben die beiden Entwickler Talal Haj Bakry und Tommy Mysk die Aufmerksamkeit von Apple-Nutzern auf ein Problem gelenkt, bei dem Apps vom Nutzer unbemerkt auf den Inhalt der Zwischenablage zugreifen und dabei unter Umständen auch sicherheitskritische und sensible Daten wie Passwörter oder Kreditkarteninformationen auslesen können. Mit iOS 14 wird sich Apple dieses Problems nun annehmen und eine Warnmeldungen anzeigen, sobald eine App auf den Inhalt der Zwischenablage zugreifen möchte. Bereits in der ersten Beta von iOS 14 ist diese neue Funktion aktiviert, was weitere Apps zu Tage förderte, die von der ungewünschten und kritischen Praxis Gebrauch machen. Eines der prominentesten Beispiele ist dabei die beliebte Video-App TikTok, wie unter anderem der Telegraph berichtete.

Bei TikTok sah man sich durch die nun offensichtlich gewordene Nutzung der Funktion dazu gezwungen, diese seit dem letzten Update nicht mehr anzuwenden und die bisherige Nutzung halbherzig mit einer Maßnahme gegen Spam zu erklären. Andere Apps und Entwickler dürften diesem Beispiel demnächst folgen.

Und immer wenn du denkst, noch einen können sie nicht draufsetzen, holen sie so ein Ding raus. Aktuell boomen aufgrund der Coronakrise vor allem auch Plattformen für Videokonferenzen, wie beispielsweise Microsoft Teams, Cisco WebEx oder Zoom. Letzterer Dienst handelt sich allerdings derzeit zumindest aus technischer Sicht mehr negative als positive Schlagzeilen ein. Nachdem erst kürzlich bekannt wurde, dass die iOS-App von Zoom für den Nutzer nicht erkennbar und ungefragt Daten an Facebook verschickte. Und das auch dann, wenn dieser gar nicht über ein Konto auf dem sozialen Netzwerk verfügt. Anfang der Woche kam dann noch ans Licht, dass Zoom mit einer Ende-zu-Ende Verschlüsselung seines Dienstes wirbt, diese aber überhaupt nicht realisiert.

Nun kommt der nächste Hammer. So haben die Kollegen von Motherboard herausgefunden, dass Zoom offenbar sehr offenherzig mit den persönlichen Daten seiner Nutzer umgeht. So sind unter anderem die E-Mail Adresse und das Foto von mehreren tausend Nutzern für andere Nutzer sichtbar, ohne dass man sich mit diesen explizit verbunden hätte. Das Problem liegt dabei offenbar im sogenannten "Company Directory" von Zoom, in das automatisch Nutzer aufgenommen werden, wenn sie dieselbe Mail-Domain verwenden. Zwar wird es hierdurch einfacher, Kollegen zu finden und mit diesem eine virtuelle Konferenz zu starten, allerdings werden hierdurch auch Nutzer mit Mail-Domains von kleineren Providern (Dienste wie Hotmail, Yahoo, Gmail und Co. sind offenbar nicht betroffen) zusammengefasst, als ob sie für dasselbe Unternehmen arbeiten würden. So berichtet ein Nutzer:

"I was shocked by this! I subscribed (with an alias, fortunately) and I saw 995 people unknown to me with their names, images and mail addresses. [...] If you subscribe to Zoom with a non-standard provider (I mean, not Gmail or Hotmail or Yahoo etc), then you get insight to ALL subscribed users of that provider: their full names, their mail addresses, their profile picture (if they have any) and their status. And you can video call them."

Auf seiner Webseite schreibt Zoom zum "Conpany Directory":

"By default, your Zoom contacts directory contains internal users in the same organization, who are either on the same account or who's email address uses the same domain as yours (except for publicly used domains including gmail.com, yahoo.com, hotmail.com, etc) in the Company Directory section."

Allerdings werden offenbar nicht alle Domains dabei herausgefiltert, so dass kleinere Mail-Endungen fälschlicherweise einem Unternehmen zugeordnet werden, was zu den angesprochenen Problemen führt. Der o.g. Nutzer berichtet, dass unter anderem die Domains der niederländischen Provider xs4all.nl, dds.nl und quicknet.nl betroffen sind. XS4ALL kommentierte das Problem bereits am Wochenende auf Twitter.

Vermoedelijk omdat je zelf een gebruiker hebt aangemaakt met @xs4all.nl en dit dus overeenkomt met andere XS4ALL gebruikers. Dit is iets wat wij niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hier verder mee kan helpen. *FJ

— XS4ALL (@xs4all) March 29, 2020

Sollte man selbst betroffen sein, kann man in einer speziellen Sektion der Zoom-Webseite das Entfernen einer Domain aus dem "Company Directory" Feature beantragen.

Erneut werfen die Datenschutz-Praktiken bei Zoom kein gutes Licht auf das Unternehmen. Neben den Problemen der vergangenen Tage entdeckten Sicherheitsforscher im vergangenen Jahr eine Lücke, durch den es Angreifern möglich war, die Webcam des Nutzers unbemerkt zu übernehmen. Über die beiden anderen oben genannten Apps (Microsoft Teams, Cisco WebEx ) sind derlei Probleme aktuell nicht bekannt. Wer also Bedenken bei der Nutzung von Zoom hat, sollte einen Wechsel in Betracht ziehen.

Mit dem Start von iOS 13 hat Apple im vergangenen Jahr schärfere Maßnahmen gegen das Location-Tracking eingeführt. So kann man nun nicht nur feiner steuern, ob eine App suf die GPS-Informationen auch im Hintergrund oder nur beim Nutzen der App zugreifen darf, das System fragt auch regelmäßig nach, ob die Einstellungen noch aktuell sind, sollte man sich für erstere Einstellung entschieden haben. Diese Maßnahmen scheinen den von Apple gewünschten Erfolg gebracht zu haben, wie aktuelle Zahlen von Location Sciences (via Fast Company) zeigen.

So soll der Zugriff auf die Standortdaten im Hintergrund durch Drittanbieter-Apps mit iOS 13 um 68% zurückgegangen sein. Und auch während der Nutzung einer App gab es einen Rückgang. Dort betrug er immer noch beachtliche 24%. Ein weiterer Bericht von Digiday sagt aus, dass weniger als 50% der Nutzer den Apps inzwischen Zugriff auf ihren Standort gewähren wenn sich diese im Hintergrund befinden.

Apple und die US-amerikanischen Strafverfolgungsbehörden liegen inzwischen schon seit einigen Jahren im Clinch. Im Wesentlichen geht es dabei stets um Apples Umgang mit den Daten seiner Nutzer. Hierauf würden die Behörden nämlich allzu gerne zugreifen, wogegen sich Apple jedoch im Rahmen der in den USA herrschenden Gesetze wehrt. Erst kürzlich gab es wieder Diskussionen um das Entsperren des iPhone eines Amokschützen, was Apple nach wie vor strikt ablehnt. Gesetzlich verpflichtet ist Apple hingegen, auf seinen Servern gespeicherte Nutzerdaten herauszugeben, wenn hierzu eine richterliche Anordnung vorliegt. Dies betrifft auch die auf den Servern lagernden iCloud-Backups. Informationen zu den angeforderten und herausgegebenen Daten veröffentlicht Apple regelmäßig in seinem Transparenzbericht.

Vor etwas mehr als zwei Jahren hatte Apple das FBI hierzu informiert, dass man plant, diese Backups künftig auch mit einer Ende-zu-Ende Verschlüsselung zu versehen, was es Apple und damit auch dem FBI de facto unmöglich machen würde, auf die darin enthaltenen Daten zuzugreifen, wie Reuters berichtet. Offenbar hat man diese Pläne nun jedoch in Cupertino verworfen. Ob dies an einer Intervention des FBI oder der US-Regierung liegt, kann nicht mit abschließender Sicherheit gesagt werden. Allerdings zitiert der Bericht einen ehemaligen Apple-Mitarbeiter in die Richtung, dass es das Unternehmen offenbar nicht riskieren will, sich vorwerfen zu lassen, Kriminelle auf diese Weise zu schützen und hierfür verklagt zu werden. Bereits jetzt werden iCloud-Backups verschlüsselt auf den Apple-Servern abgelegt, allerdings ist das Unternehmen im Besitz dieses Schlüssels, wie Apple in einem zugehörigen Support-Dokument erklärt.

Wer hier datenschutztechnische Bedenken hat, kann übrigens seine iPhone- und iPad-Backups nach wie vor verschlüsselt auf der eigenen Festplatte abglegen, statt sie auf iCloud zu lagern. Ich persönlich habe die Option iCloud-Backup noch nie aktiviert, was weniger an irgendwelchen Bedenken liegt, als vielmehr daran, dass mir der iCloud-Speicherplatz schlicht zu teuer ist und das Wiederherstellen eines Geräts aus einem lokalen Backup deutlich schneller von der Hand geht als aus der Cloud.