Apple erschwert Datenzugriff künftig
Namhafte Apps schnüffeln per Push-Mitteilung
Den deutschen Sicherheitsforscher und Entwickler Tommy Mysk hatten wir erst vergangene Woche in den News. Dabei ging es um die Tatsache, dass die App des Twitter-Nachfolgers X teilweise Privatsphäre-Einstellungen ignoriert. Jetzt macht Mysk auf den Sachverhalt aufmerksam, dass zahlreiche Anwendungen Apples Push-Mitteilungen dazu verwenden, um Informationen zum Empfänger beziehungsweise dessen Nutzungsverhalten zu sammeln.
🚨🎬 Privacy Concerns about Apple Push Notifications
TL;DR: data-hungry apps use push notifications as a trigger to send app analytics and device information to their remote servers, even if the apps aren't running at all on your iPhone. Such apps include TikTok, Facebook, FB… pic.twitter.com/qyFDbmrBjq
— Mysk 🇨🇦🇩🇪 (@mysk_co) January 25, 2024
Mysk hat für seine Analyse mit TikTok, Facebook, X und LinkedIn vier häufig genutzten und namhafte iOS-Apps ausgewählt. Besonders pikant ist die hier aufgezeigte Tatsache, dass die Apps selbst für die Datenübertragung gar nicht aktiv sein müssen, sondern bereits der schlichte Eingang einer Push-Mitteilung genügt.
Apple ergreift Gegenmaßnahmen
Im Detail bekommt ihr die Vorgehensweise und die dabei jeweils ausgelesenen und übertragenen Daten im unten eingebetteten Video demonstriert. Wir wollen allerdings anmerken, dass Apple seine Vorgaben für Entwickler in diesem Bereich bereits aktualisiert hat, und der Zugriff auf die meisten der in diesem Beispiel abgegriffenen Daten künftig nur noch möglich ist, wenn man den Grund für den Zugriff auf die entsprechenden Schnittstellen ausreichend begründet.
Diese Zugriffe sind im Video zu sehen:
- TikTok – Analysedaten wie etwa den Mobilfunkanbieter und die eingestellte Systemsprache beim Erhalt einer Push-Mitteilung und wenn diese Entfernt wird weitere gerätespezifische Daten, darunter auch die seit dem letzten Gerätestart vergangene Zeit.
- Facebook – Zeit seit dem letzten Gerätestart beim Erhalt der Nachricht und beim Entfernen der Nachricht detaillierte Informationen zum verwendeten iPhone, darunter beispielsweise ob das Gerät über WLAN verbunden ist oder gerade an einem Ladegerät hängt.
- X – Hier werden ausschließlich beim Entfernen eingegangener Nachrichten Informationen übertragen, darunter ebenfalls der Zeitraum seit dem letzten iPhone-Neustart
- LinkedIn – Beim Eingang einer Push-Mitteilung sendet die App umfangreiche Informationen zum empfangenden Gerät und beim Entfernen der Nachricht werden erneut in größerem Umfang Daten übertragen. LinkedIn hat gegenüber Mysk allerdings angegeben, dass dies nur der Fall sei, um eine erfolgreiche Übermittlung der Nachricht zu bestätigen.
Also LinkedIn überrascht mich in der Auflistung dann doch
Mich überhaupt nicht.
Ist doch Microsoft. Deren Apps und OS sind ja riesige Datenkraken
LinkedIn gehört Microsoft, sagt eigentlich schon alles…
+ 1
Linkedin ist das Facebook für Jobsuchende.
Insofern überrascht mich auch das überhaupt nicht.
Linkedin ist eine digitale Drückerkolonne
^^
Ja ganz schlimm. Und dann das UI. Horror
Wozu man all die Infos braucht um den Empfang einer Nachricht zu bestätigen haben sie wohl nicht erläutert?
Vor allem wenn die anderen das offensichtlich nicht brauchen.
Es ist anzunehmen, dass das durch die Bank passiert, auch bei scheinbar unbedeutenden Apps. Das ist sicherlich kein Geheimnis in der Branche.
Das Problem hat sich in Zukunft eh erledigt wenn die großen Socian Networks über ihre eigenen alternative App Stores soviel rumschnüffeln können wie sie wollen. Da kann dann auch Apple nix mehr machen.
wer sich die Schnüffler dann freiwillig einlädt, braucht sich nicht zu beklagen.
Macht wohl jetzt auch schon niemand.
Das man keine Möglichkeit hat, sich dagegen zu wehren, heißt ja nicht, dass man es gutheißt!
iOS macht Apple immer noch selbst. Auch Zugriffe limitieren.
Und das die Großen alle eigene App Stores aufziehen wird auch nicht passieren. ist bei macOS, Windows, Android ja auch nicht passiert.
Dann hast du wohl noch nicht mitbekommen das Apple alle in alternativen APP Stores gelisteten Apps zur Prüfung vorgelegt werden muss
Wenn die so „prüfen“ wie bisher…
Apple macht je jetzt schon nichts, ganz im gegenteil, apple schnüffelt genau so wie alle andern. Überall wo man geld machen kann ist apple zuvorderst dabei!
Etwas konkreter bitte. Sonst bleibt es eine Unterstellung.
Da hast du wohl so einiges falsch verstanden und/ oder verwechselst das Ganze mit einem Jailbreak.
Die Systemrestriktionen bleiben die gleichen.
Au man wenn man keine Ahnung hat sollte man sich einfach mal raushalten.
Jede App, egal wohl her, läuft in einer Sandbox und kann genau das was Apple zulässt.
Ich frag mich als leihe tatsächlich was ihnen solche Information bringen, abgesehen davon nutze ich die genannten App nicht
Nimm als Beispiel ‚Wer ist es?‘ -> Er hat einen roten Pullover, eine gelbe Mütze etc.
Millionen von Daten, auch über andere Websites und Apps werden nach und nach auf einen Haufen gesammelt und verbunden. So entstehen Profile. Damit bekommst du Details über die Kaufpsychologie der Kunden – unter anderem.
Sammle, was du kriegen kannst.
Alles ist verwertbar.
«leihe»? Meinst Du Leiche oder Laie?
:-))
Und ich frage mich, ob ein Leihe den Unterschied zwischen Leihe und Miete kennt, und ob es wirklich stimmt dass die Leute immer schlechter schreiben können.
Autokorekktur sei dank
Bei Facebook hab ich noch nie Pushnachrichten bekommen, obwohl alles richtig eingestellt ist. Hab es verglichen mit einem Handy, das Push von Facebook empfängt.
Keine Ahnung warum
Nie genutzt diese schrottigen Apps.
dito
Was fängt man mit solchen Informationen an? Zeit seit letztem Gerätestart oder ob ich gerade lade?
Die exakte Zeit seit dem letzen Gerätestart mit Milli- oder Microsekunden Genauigkeit ist praktisch einmalig. Von allen Geräten die es weltweit gibt, wird es vermutlich keine Doppelungen bei dieser Zeitangabe geben. D.h. Man kann mit diesem Zeitstempel einen Nutzer eindeutig identifizieren. Bei den Apps der sozialen Netze ist man ja auch eingeloggt, so dass die Dienste hier wissen, wer der Nutzer ist, und so können die Dienste dann auch nach einem Neustart der Geräte (neuer Zeitstempel) alles wieder auf den Nutzer zurückführen.
Jetzt könnte man sagen, macht ja nichts, Facebook weiß ja eh, was ich auf Facebook so mache, die Daten haben sie ja sowieso. Hier kommt dann aber dazu, dass der Zeitstempel eindeutig einem Gerät zugeordnet werden kann, und somit unabhängig von der App ist. D.h. jede beliebige andere App, an deren Daten Facebook normalerweise nicht rankäme, da Apps auf dem iPhone ja voneinander abgeschottet sind (Sandboxing), bekommt den selben Zeitstempel. Und Facebook, Google etc bieten ja SDKs für Entwickler an, mit allerhand „nützlichen“ Funktionen, die viele Entwickler dann auch gerne nutzen. Und so landen dann auch Daten dieser anderen Apps bei Facebook und Co. und dank eindeutigem Zeitstempel dann eindeutig einem Nutzer zuzuordnen, selbst wenn diese Apps selbst gar kein Nutzer-Konto benötigen und vom Nutzer eigentlich völlig anonym genutzt werden können. So kommen Facebook & co dann auch an Nutzerdaten fremder Apps (und Webseiten).
Kann das denn verhindert werden, wenn ich jegliche Mitteilung in den Einstellungen abschalte? Oder dergleichen in den einzelnen Apps?
Ich nutze linkedin aus diesem Grund nur noch über den Browser. Diese ständigen überflüssigen Benachrichtigungen haben mich so genervt. Hauptsache es triggert mich um die App zu öffnen und mich mit dem bullshit berieseln zu lassen.
Schade, dass Apple da kein Interesse hat das abzustellen.
Es wäre toll, wenn man bei Apps grundsätzlich (auch im WLAN) die Verbindung zum Internet verbieten könnte und dann in dieser Einstellung versteckt nur die Verbindung zu dezidierten Servern erlauben könnte.
Das würde dies nicht komplett verhindern, aber z.B. ein Verhalten wie bei den Readdle Apps verhindern (also dass man dank Facebook-SDK alle daten mit Facebook teilt, ohne es zu wollen).
Einfach Adguard Pro einsetzen. Klappt perfekt
Wenn du bei diesen Apps angemeldet bist, dort dich auch noch bewegst und dein Leben preisgibst. Was ärgert dich daran das die noch etwas über dein Gerät rausfinden wollen oder wann du an der Steckdose hängst? Ich verstehe diese ganze Aufregung nicht? Entweder ich möchte unsichtbar bleiben, dann darf ich aber kein Smartphone und sonstige Geräte die mit dem Internet verbunden sind, besitzen! Oder mir ist alles egal und ich nutze es so wie es halt angeboten wird. Finde solche Aussagen immer sehr lustig. Da es nichts bringt.
Da bin ich ja froh, dass ich die meisten dieser Apps gar nicht nutze und Push Nachrichten bei 99% aller Apps auch deaktiviert habe, um mich von meinem Handy nicht „dressieren“ zu lassen.
Bei welchen lässt du denn Push durch?
Threema
Hatte jetzt noch nie irgendwelche Probleme deswegen. Einzig TikTok kommt mir nicht auf mein Handy, der Rest ist mir egal.