iOS: Tiktok, X und Meta senden Analytics-Daten mit diesem Benachrichtigungstrick
Bekannte Apps missbrauchen Push-Notifications unter iOS, um Daten an die eigenen Server zu schicken. Dies konnte ein Sicherheitsforscher nachweisen.
Benachrichtigungen greifen Analytics-Daten ab.
(Bild: Tommy Mysk)
Der bekannte Sicherheitsforscher Tommy Mysk, der in der Vergangenheit unter anderem über VPN-Probleme in iOS, das Tracking von App-Store-Nutzern und Probleme bei den iPhone-Privatsphäreneinstellungen berichtet hatte, kommt mit einer neuen Untersuchung. Diesmal geht es um den Missbrauch von Apples Benachrichtigungssystem (Push Notifications) durch Entwickler großer Apps. Darunter sind diverse datenhungrige Social-Media-Anbieter wie Meta, TikTok und X, berichtet er auf YouTube.
Push Notifications lösen "Datensturm" aus
Apple mag es eigentlich nicht, wenn iPhone-Apps im Hintergrund laufen – daher werden diese regelmäßig schlafen gelegt beziehungsweise beendet. Seit iOS 10 ist es möglich, Apps mittels Benachrichtigung "aufzuwecken". Dies soll eigentlich nur dazu dienen, dass die ankommende Push-Nachricht von der App aufbereitet werden kann. Danach wird die App auch wieder automatisch beendet. Wie Mysk nun mittels Überwachung des Netzwerkverkehrs festgestellt hat, nutzen bekannte Apps die Aktivierung aber auch für andere Dinge: Sie schicken – teils sehr detaillierte – Analytics-Daten an ihre Betreiber.
Zumeist sind dies laut Mysk Informationen von App-Überwachungsdiensten wie Google Analytics und Firebase, andere Entwickler wie Meta (unter anderem in Instagram, Facebook Messenger, Facebook und Threads) nutzen ihre eigenen Tools. TikTok wiederum scheint auf eine Kombination aus Firebase und selbstgestrickten Analytics zu setzen, so Mysk. Das widerspricht eigentlich Apples Regeln: "Laut Apple-Dokumentation ist der Zweck des Aufweckens einer App im Hintergrund vor allem, der App die Möglichkeit zu geben, ihre Benachrichtigungen anzupassen." Stattdessen kommt es zum Datensturm.
Umfangreiche Analysedaten an Server von Meta und Co.
Zu den Daten, die Mysk entschlüsseln konnte, gehören Systembetriebszeit, Gebietsschema, Tastatursprache, verfügbarer Speicher, Akkustatus, Gerätemodell, Bildschirmhelligkeit und weitere Angaben. Das sind eigentlich Informationen, die man zum Fingerprinting nutzen kann – um damit eine Verfolgung von Nutzern über mehrere Apps hinweg durchzuführen. Das wiederum ist von Apple eigentlich strikt verboten worden.
Es ist unklar, wie Apple auf Mysks Erkenntnisse reagieren wird. Allerdings hat der Konzern bereits angekündigt, dass er ab dem Frühjahr von Entwicklern genauere Details zum Einsatz von Drittanbieter-APIs – darunter auch solche für Analytics – verlangen wird. Dadurch könnte das Unternehmen auch den Missbrauch von Push-Notifications leichter verhindern. Allerdings dreht sich an anderer Stelle der Wind: Aufgrund der verstärkten Regulierung durch Regierungsstellen in der EU, in Asien und den USA will Apple künftig selbst Entwicklern mehr Analysedaten zukommen lassen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
