Unnötiges Datenschutzrisiko
iMessage-App schickt Tracking-Nummern an Apple-Server
Der Entwickler Jeff Johnson kritisiert, dass Apple den Schutz persönlicher Daten gerne zu Werbezwecken oder um sich Wettbewerbsvorteile zu verschaffen verwendet, selbst aber immer wieder nachlässig mit diesem Thema umgeht. Als konkretes Beispiel führt Johnson den Umgang von iMessage mit Tracking-Nummern an. Die App analysiert ganz offensichtlich den Inhalt empfangener Nachrichten und ermöglicht prinzipiell eine Auswertung der Inhalte.
Wohlgemerkt steht Apple in keiner Weise im Verdacht, diese Möglichkeiten auszunutzen. Johnson will lediglich auf die Diskrepanz zwischen Apples Marketingaktivitäten und der tatsächlichen Umsetzung dieser Ziele hinweisen.
Apple leitet iMessage-Links um
Wenn man per iMessage die Tracking-Nummer zu einer Sendung erhält, wird diese dort direkt mit einem Link zur Möglichkeit zur Sendungsverfolgung hinterlegt. Dass iMessage dies erkennt, ist grundsätzlich nicht zu beanstanden, allerdings führt der Umgang mit dieser Information zu Kritik.
iMessage erkennt nämlich auch, mit welchem Paketdienst diese Information verknüpft ist. Doch anstatt einfach eine direkte Verlinkung mit der Tracking-Seite des Versandpartners herzustellen, wird man beim Aufruf zunächst zu einem Server von Apple geschickt, der seinerseits dann die Weiterleitung zum eigentlichen Ziel übernimmt.
Zuerst vor der eigenen Tür kehren
Angesichts der Tatsache, dass Apple das Thema Datenschutz insbesondere dann, wenn es um seine eigenen Vorteile geht, stets an oberster Stelle anführt, ist Johnsons Kritik nachvollziehbar. Auch wenn dies wohl nicht geschieht, so schafft Apple durch die Umleitung die Möglichkeit, Informationen über die von seinen Kunden genutzten Dienste zu sammeln.
Im Widerspruch dazu hat Apple den Schutz der persönlichen Daten seiner Nutzer mehrfach als Argument dafür genutzt, gegen angeblich mit den EU-Gesetzen verbundene Datenschutzrisiken zu wettern und mit dieser Argumentation sogar die WLAN-Funktion der Apple Watch eingeschränkt.
So hat es halt den Vorteil, dass sie durch eine einfache Serverkonfiguration bei sich auf neue Webseiten bei den Paktdiensten oder einen anderen Umgang mit Tracking-Nummern reagieren können oder sehe ich das falsch?
Ob das ein guter Kompromiss ist, ist natürlich eine andere Frage.
Das könnten sie genauso gut auch ohne eigene Zwischenserver.
Ohne einen Webdienst, welcher die Trackingnummer einem Transport-Dienstleister zuweist und einen Link sowie Status-Infos zur Sendung liefert, müsste wohl jede dieser Dienste mit der Identifikation (welche Nummernlogik entspricht welchem Anbieter) und der Abfrage-URL für jeden Anbieter weltweit lokal auf jedem iPhone hinterlegt und vorgehalten sein. Jedes iPhone muss sich ggf. gegen den Dienst autorisieren und und und. Bei den vielen Anbietern weltweit, kommt einiges an Daten zusammen. Diese Daten belasten dann den iPhone-Speicher.
Zudem müsste dann wohl jede Neuerung oder Aktualisierung eines Anbieters mit einem Update verteilt werden.
Alleine für die Anbieter ist ist weltweit wohl mit fast täglichen Updates zu rechnen.
Mit der zentralen Abfrage kann wiederum das Tracking der Logistik-Anbieter auf diesem zentralen Webserver gestoppt/reduziert werden. Ein Anbieter weiss dann vielleicht, welche Sendung abgefragt wurde, aber nicht von welche IP aus.
Ich finde den technischen Ansatz funktional und richtig, aber:
Wie immer ist die Fragestellung, was der Anbieter neben der Kernfunktion tut (Datensammlung, auswerten, monetarisieren, …).
Vielleicht auch ein Funktion zur Sicherheit um die Links im Vorfeld zu checken ob nichts kriminelles dahinter steckt.
Die Subdomain ist ja „Tracking“, daher gehe ich davon aus, dass es tatsächlich nur fürs Tracking genutzt wird.
Die Domain ist trackingshipment.apple.com. Es handelt sich dabei nur um eine Schnittstelle, die die Tracking-Nummern erkennt und eine Weiterleitung zum Versanddienstleister herstellt.
Übrigens ist das ein sehr, sehr alter Hut, der schon vor mehr als 10 Jahren gezogen wurde: https://stackoverflow.com/questions/11300833/shipment-tracking-in-ios?utm_source=chatgpt.com
Ich dachte, dass diese Funktion mit LTP (link Tracking Protection) erklärt wird(?).
