Neues URI-Schema wegen EU-Regulierung: Website-Verfolgung in Apples Safari
Apple hat zur Implementierung alternativer App Stores im EU-Markt eine Funktion integriert, die Privates verraten kann. Das fanden Sicherheitsforscher heraus.
Safari-Icon.
(Bild: Apple)
iPhones in der EU können bekanntlich mehr als Geräte in anderen Weltregionen – dank Regulierung durch den Digital Markets Act (DMA) muss Apple etwa alternative App Stores freigeben. Bei der Umsetzung im Browser Safari hat Apple aber offenbar Fehler gemacht, die zum möglichen Abfließen von Daten führen können. Das berichtet eine Gruppe von Sicherheitsforschern um Tommy Mysk. Zusammen mit dem Entwickler Talal Haj Bakry hat sich Mysk das in Safari für die EU implementierte neue "marketplace-kit"-URI-Schema angesehen.
Verfolgung durchs Web ohne Zustimmung
Das neue Verfahren dient eigentlich dazu, Websites in Safari zu ermöglichen, den Download eines solchen App-Angebots per Button zuzulassen. Mysk und Bakry stellten allerdings fest, dass die ab iOS 17.4 vorhandene Funktion derzeit von jeder Website frei verwendet werden kann. Damit wäre es für den Anbieter alternative App Stores möglich, Nutzer selbst im Inkognito-Modus zu verfolgen, wenn sie mit Website-Betreibern kooperieren. Übertragen wird dabei ein eindeutiger Per-User-Identifier, der sich nicht ändert.
Bei Konkurrenzbrowsern wie Ecosia oder Brave, die ebenfalls die Installation von alternativen App Stores unterstützen, tritt das Problem nicht auf. Aktuell handelt es sich allerdings nur um eine hypothetische Angriffsform, denn es gibt bislang nur drei verschiedene Anbieter solcher App-Läden, von denen nicht bekannt ist, dass sie die von Mysk und Bakry geschilderte Problematik ausnutzen. Die Forscher betonen daher, dass nur "malicious alternative marketplaces" derart vorgehen könnten. Ob Apple dies bei der Zulassung feststellen würde, ist unklar.
Bislang nur hypothetisch, doch Apple könnte etwas tun
Dennoch stellt sich die Fragen, warum das URI-Schema derart Leak-freundlich aufgebaut wurde. Safari ruft demnach MarketplaceKit immer auf, sofern sich das URI-Schema in einer Seite befindet – "blind", wie die Sicherheitsforscher sagen. Bei jedem Aufruf wird der alternative App Store samt eindeutiger ID getriggert und sogar eine "custom payload" mitgeschickt.
Um den Angriff zu vollführen, müssten sich Betreiber alternativer App Stores jeweils mit Website-Anbieter abstimmen. Safari-Privatsphärenfunktionen, die das Cross-Site-Tracking eigentlich verhindern sollen, werden so ausgehebelt. Das Problem ließe sich vermutlich einfach lösen: Safari dürfte das MarketplaceKit nur dann triggern, wenn es sich um die offizielle Website eines alternativen App Stores handelt – nicht aber bei jeder beliebigen. Bislang hat Apple auf die Lücke noch nicht reagiert.
Apple hat mittlerweile zu dem von Tommy Mysk & Co. entdeckten Problem Stellung genommen und bezeichnet es als Fehler in iOS. Apple hat demnach Kenntnis von dem Bug und er soll mit dem nächsten Software-Update behoben werden, so ein Statement vom Donnerstagmorgen gegenüber Mac & i. Weitere Angaben, etwa wann ein Fix erscheint, machte der Konzern nicht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
