Apples Safari-Browser verhält sich seit Einführung der alternativen App Stores in Europa nun etwas anders als in den Vereinigten Staaten und offenbart hier ein potenzielles Datenschutzproblem – dies melden die Sicherheitsforscher von Mysk und kritisierten Apples Implementierung der Drittanbieter-App-Stores in Safari.
Problematisch ist die von Apple bereitgestellte Funktion, die es Anwendern in Europa erlaubt, Drittanbieter-App-Stores überhaupt zu installieren. Dies erfolgt über spezielle Links, so genannte URI-Schemes, die von Safari ausgewertet werden und das Datenschutzversprechen Apples untergraben sollen.
Ruft Apples Safari-Browser eine beliebige Webseite auf, prüft dieser, ob die Webseite einen MarketplaceKit-Link zur Installation eines alternativen App Stores enthält, um europäischen Anwendern anschließend die Installation des Stores anbieten zu können.
Im Laufe dieses Checks gibt das iPhone eine individuelle Geräte-Kennung aus der Hand, eine client_id, die Angreifern theoretisch das webweite Tracking von Anwendern ermöglicht. Apples System verzichtet zudem darauf, die Herkunft der angesurften Webseiten zu prüfen.
Saafari macht Nutzer-Tracking möglich
Apples Nachlässigkeit gestattet beliebigen Webseiten, denselben MarketplaceKit-Prozess zu aktivieren, um dieselbe einzigartige client_id zu erhalten. Diese Funktion könnte nach Angaben der Forscher potenziell von bösartigen App-Store-Betreibern genutzt werden, um euch über verschiedene Websites hinweg zu tracken.
Die Sicherheitsforscher haben das beobachtete Verhalten in dem eingebetteten YouTube-Video festgehalten und mahnen europäische Anwender zur Vorsicht.
Anwender, die auf Nummer sicher gehen wollen, sind dazu angehalten, den Brave Browser zu nutzen, da dieser der einzige aktuelle Browser ist, der die Herkunft der MarketplaceKit-Abfragen überprüft und diese nur von autorisierten Webseiten zulässt.