Bei datenschutzbewussten Nutzern hat Facebook wohl schon seit Jahren einen schweren Stand. Die aktuellen Diskussionen rund um die mit iOS/iPadOS 14.5 kommenden Tracking-Abfragen und Facebooks PR-Kampagne hiergegen dürften diese Situation noch verschärfen. Und genau mitten in diese Datenschutz-Diskussion platzt nun die Meldung, dass Facebook an einer Konkurrenz zu Apples "Hey Siri" oder Amazons "Alexa" arbeitet. So wird es künftig über den Sprachbefehl "Hey Facebook" möglich sein, die eigenen smarten Geräte per Sprachbefehl aufzuwecken und sie Aktionen ausführen zu lassen. Wie die Kollegen von The Verge berichten, hat Facebook unter anderem bekanntgegeben, dass Nutzer des Oculus Quest das Gerät per "Hey Facebook" nun bedienen können, ohne dabei ihre Hände benutzen zu müssen. Dies trifft zudem auch auf Facebooks "Portal"-Geräte zu. Der hier bislang zum Einsatz kommende Befehl "Hey Portal" wird ab sofort durch "Hey Facebook" ersetzt.

Wie bei den anderen Sprachassistenten von Apple, Amazon und Co. wird auch Facebook die Sprachbefehle nach "Hey Facebook" aufzeichnen und auswerten. Inwieweit dies anonymisiert stattfindet, gibt Facebook allerdings nicht an. Facebook schreibt dazu:

Unless you turn Portal’s microphone off, Portal listens for a wake word. If Portal detects a wake word, a visual indicator appears on the bottom of the screen, and Portal will start to record and transcribe your voice interaction. This recording and transcription is sent to Facebook servers in real-time to respond to your request.

Na das klingt doch nach einer super Idee, sich ein smartes Gerät von Facebook anzuschaffen, welches einen dauerhaft belauscht, um dann bei einem Startkommando aktiv zu werden. Zumal Facebook ja dafür bekannt ist, nicht an den Daten seiner Nutzer interessiert zu sein (*Hey Facebook, Ironie aus). Immerhin ist die neue Funktion optional und standardmäßig deaktiviert. Irgendjemand an dieser Funktion interessiert?

Mit iOS 14.5 wird Apple die Trackingabfragen für alle AppStore-Entwickler verpflichtend machen und Facebook läuft weiterhin Sturm gegen diese Neuerung. Zur Erinnerung: Künftig müssen App-Entwickler ihre Nutzer explizit darum bitten, das Tracking über verschiedene Apps und Webseiten zuzulassen. Da man sich bei Unternehmen wie Google und Facebook ganz offensichtlich darüber bewusst ist, dass die meisten Nutzer diesem Tracking aber wohl widersprechen werden, wetterte man bereits öffentlich gegen Apples neueste Datenschutzmaßnahme. Apple zeigte sich hiervon allerdings bislang mehr als unbeeindruckt und wird die neue Abfrage mit der finalen Version von iOS 14.5 nun endgültig einführen.

Vor dem Start der neuen Abfragen hat Facebook nun eine neue PR-Kampagne mit dem Titel "Good Ideas Deserve To Be Found" gestartet, in der man versucht darzustellen, wie kleine Unternehmen auf personalisierte Werbung angewiesen sind, damit sie überhaupt Geld verdienen und wachsen können. Dabei spielt Facebook natürlich indirekt auf Apples eingeschlagenen Weg in Sachen Datenschutz seiner Nutzer an. Die Kampagne soll für zunächst 12 Wochen auf  Facebook und auch in TV-Spots in den USA zu sehen sein, wie CNBC berichtet. Selbstverständlich geht man dabei auch darauf ein, wie Facebook den angesprochenen kleinen Unternehmen dabei hilft, zu wachsen, indem man ihnen personalisierte Werbung anbietet und Zugriff auf die Daten der Nutzer gewährt. Na wenn das mal kein Eigentor wird.

YouTube Direktlink

Die Mail-App HEY (kostenlos im AppStore) hat im vergangenen Jahr eine Menge Aufmerksamkeit bekommen, da Apple die App zwischenzeitlich wegen angeblicher Verstöße gegen die Regeln aus dem AppStore entfernte und anschließend eine öffentliche Auseinandersetzung mit den Entwicklern begann. Im Endeffekt einigte man sich und HEY steht inzwischen wieder zum Download bereit. Darin enthalten ist eine durchaus interessante Sicherheitsfunktion, auf die die meisten anderen Mail-Apps verzichten. Dazu gehört beispielsweise auch Apples Mail-App. Und das obwohl man sich in Cupertino ja stets mit seinen hohen DAtenschutzansprüchen rühmt. So enthält HEY eine Funktion, durch die sogenannte "Spy Pixel" in E-Mails nicht nur blockiert werden, sondern auch die betroffene Mail mit einem Badge versehen wird, das dies deutlich anzeigt.

"Spy Pixel" sind laut HEY inzwischen in zwei Drittel aller E-Mails enthalten. Prinzipiell handelt es sich dabei um unsichtbare, 1x1 Pixel große GIFs, die für den Empfänger unsichtbar in die Mails eingefügt sind. Wird die Mail geöffnet, werden diese Pixel von einem entfernten Server geladen. Durch die dabei zustandekommende Verbindung wird dem Betreiber dieses Servers nicht nur angezeigt, dass die Mail empfangen und geöffnet wurde, er erlangt auch Zugriff auf die IP-Adresse des Empfängers und somit auch auf dessen Standort. Der Blogger-Kollege John Gruber hat dieses Thema erst kürzlich wieder aufgegriffen und in einem Follow-Up Post auch Apple dafür kritisiert, dass die in iOS und macOS vorinstallierte Mail-App nichts gegen diese Praxis unternimmt.

Zwar ist es so, dass Apples Mail-App, wie auch die meisten anderen Mail-Clients, eine Möglichkeit bietet, das Laden von externen Inhalten zu unterbinden. Dies führt allerdings oftmals dazu, dass die heutigen, auf HTML-Code basierenden Mails kaum noch lesbar sind. Entscheidet sich der Nutzer dann per Mausklick doch dafür, die externen Inhalte zu laden, werden dabei dann auch die "Spy Pixel" mit heruntergeladen. Es gibt hier also nur die beiden Möglichkeiten ganz oder gar nicht. Man schüttet also quasi die Wanne mitsamt des Babys aus, wenn man auf den Herunterladen-Button klickt. Problematisch dabei ist zudem, dass zwar technisch versierte und interessante Nutzer wissen, dass man den Download von externen Inhalten unterbinden kann, die allermeisten Nutzer hierüber jedoch nicht Bescheid wissen und somit mit vielen erhaltenen Mails die "Spy Pixel" herunterladen und die Absender unbemerkt mit persönlichen Informationen versorgen.

In der HEY-App verfolgt man hingegen einen anderen als den Alles-oder-Nichts-Ansatz der meisten Mail-Apps und erklärt diesen auch auf einer eigenen Webseite. Demzufolge werden Mails automatisch auf Grafiken überprüft, die die typischen "Spy Pixel"-Muster aufweisen. Werden diese entdeckt, werden die entsprechenden Grafiken direkt entfernt. Zudem wird auch nach den angesprochenen 1x1 Pixel GIFs gesucht und auch diese entfernt. Auf diese Weise kann man nach Aussage der Entwickler bereits 98% der "Spy Pixel" und sonstige Tracking-Grafiken aufspüren und entfernen. In einem letzten Schritt wird die Mail dann auch noch über einen Anonymisierungs-Proxyserver geleitet, wodurch dem Absender keine Informationen des Empfängers mehr zugänglich gemacht werden, sollten es doch noch Spionage- und Tracking-Grafiken durch HEYs vorgeschaltete Filter geschafft haben. Die letztgenannte Barriere kann man sich also quasi wie eine Art VPN für E-Mails vorstellen.

Heutige Mail-Clients sind im Prinzip nichts anderes als Webbrowser, die auf die Anzeige von E-Mails spezialisiert sind. Die meisten dieser Mails werden wie gesagt heutzutage im HTML-Format versendet, also demselben Quellcode, auf dem auch Webseiten basieren. Dies ermöglicht die verschiedensten Formatierungen und eben auch die Einbindung von Grafiken und sonstigen Multimedia-Inhalten. Allerdings weisen die meisten Mail-Clients nicht annähernd die Sicherheitsfunktionen gegen schädlichen Code und Tracking-Technologien auf, wie die modernen Webbrowser.

Ich stimme Gruber voll und ganz zu, dass es sich hierbei um einen wirklich sinnvollen Ansatz handelt. E-Mails machen nach wie vor einen Großteil der heutigen Kommunikation aus und dennoch sind die dabei verwendeten Protokolle sicherheitstechnisch eigentlich eine Farce. Ein sicherheits- und datenschutzbewusstes Unternehmen wie Apple sollte seine Apple dringend mit einer ähnlichen Technologie ausstatten, wie HEY sie verwendet, zumal man wo wenn nicht in Cupertino sicherlich die Ressourcen hierfür haben dürfte. Speziell vor dem Hintergrund der ohnehin aktuell verschärften Maßnahmen gegen das sogenannte Cross-Site-Tracking wäre dies der nächste logische Schritt.

WhatsApp hat in den vergangenen Wochen jede Menge negative Presse bekommen. Grund sind die geplanten Änderungen an den Datenschutzbestimmungen, die dem Messenger künftig das Recht einräumen werden, sich enger mit der Konzernmutter Facebook zu vernetzen und dadurch auch mehr Daten dorthin weiterzugeben. Ursprünglich sollte diese neue Richtlinie ab dem 08. Februar in Kraft treten und Nutzer, die ihnen nicht zustimmen könnten den Dienst anschließend nicht mehr nutzen. Allerdings ruderte man nach der massiven Kritik zumindest ein Stück weit zurück und verschob das Inkrafttreten der neuen Richtlinien bis zum 15. Mai, um den Nutzern mehr Zeit zu geben, um die neuen Bedingungen zu akzeptieren.

Unklar war bislang, welche Auswirkungen genau eine Nicht-Zustimmung zu den neuen Bedingungen für Nutzer haben würden. Diese sind von den Kollegen von TechCrunch nun jedoch aufgedeckt worden. So werden die entsprechenden Accounts nach und nach beschnitten, bis sie de facto nicht mehr nutzbar sind. Den Informationen zufolge wird man die Nutzer nach und nach dazu drängen, den Bestimmungen zuzustimmen, falls sie WhatsApp nach dem 15. Mai noch vollumfänglich nutzen wollen. So schreibt WhatsApp in einer internen Mail:

Sollten Nutzer nach wie vor nicht den neuen Regeln zustimmen, "for a short time, these users will be able to receive calls and notifications, but will not be able to read or send messages from the app."

Die Bezeichnung "short time" soll dabei ein paar Wochen umschreiben. Die Auswirkung wäre wohl, dass ein Konto früher oder später den Status "inaktiv" erhalten würde, was gemäß den Geschäftsbedingungen von WhatsApp bedeutet, dass diese "WhatsApp Accounts normalerweise nach 120 Tagen Inaktivität gelöscht" werden.

Die Ankündigung der neuen Regelungen hat wie gesagt nicht nur zu jeder Menge Kritik geführt, sondern auch zu einer Abwanderung von Nutzern zu anderen Messengern wie Telegram and Signal. Dort hat man selbstverständlich direkt versucht hieraus Profit zu schlagen. So bietet Telegram beispielsweise inzwischen eine Funktion an, WhatsApp-Chats zu importieren, um auf diese Weise eine nahtlose Fortführung von Unterhaltungen zu ermöglichen. Seither hat WhatsApp unter anderem mit eigenen Status-Meldungen innerhalb der App versucht, die Wogen zu glätten und den Nutzern zu versichern, dass sie keine negativen Auswirkungen zu befürchten haben. In den kommenden Wochen sollen nun auch Banner innerhalb der App erscheinen, die die Nutzer zum Zustimmen zu den neuen Datenschutzregeln bewegen sollen.

Nutzer in der EU sind von den neuen Richtlinien übrigens nur bedingt betroffen, wie ich bereits vor einigen Tagen hier im Blog dargelegt hatte.

Eigentlich war die Neuerung bereits für iOS 14 angekündigt, mit iOS 14.5 wird der Schalter nun endgültig umgelegt. So werden die Nutzerabfragen zur Tracking-Erlaubnis ab den Versionen von iOS 14, iPadOS 14 und tvOS 14 in allen neuveröffentlichten und aktualisierten Apps Pflicht sein. Durch die neue Anforderung werden alle AppStore-Entwickler dazu verpflichtet, mit einem Popup die Erlaubnis des Nutzers abzufragen, ihn auf Basis seines sogenannten "Identifier for Advertisers" (IDFA) über Apps und Webseiten hinweg zu tracken. Der IDFA wird sowohl für das Einblenden von personalisierter Werbung, als auch zum Messen der Effektivität von Werbeeinblendungen genutzt. Künftig wird dann das unten zu sehende Popup bei der Nutzung einer App eingeblendet, über das der Nutzer dieser Praxis zustimmen oder sie ablehnen kann. Entscheidet man sich für Letzteres, verhindert Apple den Zugriff der App auf den IDFA. Versucht ein Entwickler diese Maßnahme zu umgehen, droht der Ausschluss aus dem AppStore.

Verschiedene große Unternehmen, deren Geschäftsmodell auf dem Verkauf von personenbezogenen Daten und personalisierter Werbung basiert, also vor allem Google und Facebook, haben Apples neue verpflichtende Maßnahme bereits öffentlicht kritisiert. Facebook schaltete beispielsweise in den USA ganzseitige Anzeigen, um gegen die neuen Regeln zu wettern. Die Electronic Frontier Foundation konterte diese Kritik allerdings kurz darauf als "lächerlich" und bezeichnete Apples Maßnahmen als "huge win for consumers". Auch Google schoss bereits gegen Apple und erklärte bereits, dass man den IDFA künftig nicht mehr in seinen eigenen Apps abfragen werde, weswegen die oben angesprochenen Popups in seinen Apps nicht zu erwarten sind.

Nun hat sich eine Gruppe von Werbeanbietern, bestehend unter anderem aus Liftoff, Fyber, Chartboost, Singular, InMobi und Vungle, zu sogenannten "Post-IDFA Alliance" zusammengeschlossen, in der man Werbetreibenden und App-Entwicklern Hilfestellungen an die Hand geben möchte, auf die neuen Anforderungen von Apple in iOS 14.5 zu reagieren (via Reuters). In diesem Rahmen sollen so beispielsweise Vorgehensweisen, Videos und Webinars bereitgestellt werden, in denen Techniken vermittelt werden, wie man auch künftig personalisierte Werbung einblenden und deren Effektivität messen kann, ohne dabei gegen Apples neue Regeln zu verstoßen.

Dieser Weg ist verglichen mit dem von Facebook und Google eingeschlagenen sicherlich der bessere, da es wohl keine andere Möglichkeit gibt, als sich an die neuen AppStore-Regeln zu halten. So wird auf der Webseite der Post-IDFA Alliance erklärt, was der mögliche Wegfall des Tracking eigentlich bedeutet und wie das alternativ durch Apple bereitgestellte SKAdNetwork funktioniert.

Das in inzwischen im Betatest befindliche iOS/iPadOS 14.5 dürfte nicht nur das funktional bisher größte Update für iOS/iPadOS 14 werden, es steht auch komplett im Zeichen des Datenschutzes. Über die Anti-Tracking-Abfragen, gegen die vor allem Facebook und Google bereits öffentlich Sturm gelaufen sind, wurde bereits hinlänglich diskutiert. Doch auch an anderer Stelle wird Apple das Thema Datenschutz verbessern. Safari bietet unter iOS und iPadOS schon länger die Möglichkeit, Webseiten auf ihre Sicherheit prüfen zu lassen. Hierzu muss man in den Einstellungen des Browsers die Option "Betrugswarnung" aktivieren. Ist dies geschehen, wird der Nutzer beim Aufruf einer Webseite gewarnt, die beispielsweise im Verdacht steht, eine Fishing-Seite zu sein oder sonstigen schädlichen Code enthalten könnte. Dabei greift Apple auf Googles "Safe Browsing" Dienst zurück, der auf einer Datenbank mit bekannten Phishing- und Betrugswebseiten basiert.

Bei der Umsetzung schickt Google eine Liste von verschlüsselten Adress-Prefixen an den mobilen Safari-Browser, die dann beim Aufruf geprüft wird. Auf diese Weise sieht Google nie, welche Webseiten der Nutzer aufruft, erlangt allerdings Kenntnis von der IP-Adresse des Nutzers. Mit iOS/iPadOS 14.5 wird dies nun nicht mehr der Fall sein, wie Apples WebKit-Chef inzwischen bestätigt hat. Künftig wird Googles "Safe Browsing" Funktion zunächst über Apple-Server geleitet, ehe sie für den Nutzer zur Verfügung steht, was zu einem zusätzlichen Datenschutz führt.

This article is a bit confused on the details of how Safe Browsing works, but in the new iOS beta, Safari does indeed proxy the service via Apple servers to limit the risk of information leak.https://t.co/TlDZNMO8do

— othermaciej (@othermaciej) February 11, 2021

Einige auf Reddit veröffentlichte Screenshots zeigen bei einem Mitschnitt der eingehenden und ausgehenden Verbindungen über Safari, dass diese unter der Beta von iOS 14.5 über "proxy.safebrowsing.apple", "safebrowsing.g.applimg.com" oder "token.safebrowsing.apple" geleitet werden, wenn eine Verbindung zu "Safe Browsing" aufgebaut wird.

In der vergangenen Woche hielt Apple CEO Tim Cook eine Rede auf der Computers, Privacy, and Data Protection Konferenz, in der er vor allem auf Apples Ansätze zum Thema Datenschutz hinwies und gleichzeitig die Geschäftsmodelle von Unternehmen wie Google und Facebook verurteilte, die auf dem Sammeln, Auswerten und Verkaufen von Nutzerdaten basieren. Namentlich genannte hat Cook die beiden Unternehmen zwar nicht, es ist vor dem Hintergrund des aktuell schwelenden Streits zu den von Apple neu eingeführten Tracking-Abfragen jedoch offensichtlich, wen der Apple CEO meinte. Inzwischen hat Apple die 12-minütige Rede von Cook auch auf seinem YouTube-Kanal veröffentlicht, wo sie nun noch einmal angeschaut werden kann.

YouTube Direktlink

Mit der gestern Abend veröffentlichten ersten Beta von iOS 14.5 rückt nun auch der Moment näher, ab dem App-Entwickler ihre Nutzer explizit darum bitten müssen, das Tracking über verschiedene Apps und Webseiten zuzulassen. Da man sich bei Unternehmen wie Google und Facebook ganz offensichtlich darüber bewusst ist, dass die meisten Nutzer diesem Tracking aber wohl widersprechen werden, wetterte man bereits öffentlich gegen Apples neueste Datenschutzmaßnahme. Apple zeigte sich hiervon allerdings bislang mehr als unbeeindruckt und wird die neue Abfrage mit der finalen Version von iOS 14.5 nun endgültig einführen.

Inzwischen hat Facebook angekündigt, dass man sich der Maßnahme zwar beugen, allerdings einige Zusatzinformationen anzeigen werde, mit dem man den Nutzer davon überzeugen möchte, das Tracking doch zuzulassen. Als Erklärung schreibt man dazu:

As we shared in December, we disagree with Apple's approach, but will be showing their prompt to ensure stability for the businesses and people who use our services. Apple's new prompt suggests there is a tradeoff between personalized advertising and privacy; when in fact, we can and do provide both. The Apple prompt also provides no context about the benefits of personalized ads.

Bevor die Abfrage in der Facebook-App angezeigt wird, bekommt der Nutzer dort also ein Fenster zu sehen, in dem Facebook darlegt, wie genau man die Nutzerdaten verwendet, um hiermit personalisierte Werbung und weitere Inhalte anzeigen zu können. Dabei bemüht man sich natürlich, dass man durch die Zustimmung zum Tracking dabei hilft, kleinere Unternehmen zu unterstützen und Apps auch weiterhin kostenlos anbieten zu können. Stimmt man dem Tracking hingegen nicht zu, würde man auch weiterhin Werbung angezeigt bekommen, diese sei für den Nutzer aber weniger relevant.

Agreeing to these prompts doesn't result in Facebook collecting new types of data. It just means that we can continue to give people better experiences. We feel that people deserve the additional context, and Apple has said that providing education is allowed.

Wenn ich mir allerdings so die Kommentare meiner Leser zu Artikeln zu dem Thema anschaue, ist kaum vorstellbar, dass ein Großteil der Nutzer dem Aufruf Facebooks folgen wird.