Browser: Trackingschutz im Safari ermöglichte Tracking
Ein Team von Google-Entwicklern hat herausgefunden, dass sich der intelligente Trackingschutz in Apples Safari-Browser auch selbst zum Tracking nutzen lassen kann. Daraus ergeben sich auch Probleme für Googles Chrome-Browser.
Als Teil einer Routine-Überprüfung habe das IT-Sicherheitsteam von Google einige Probleme mit der Sicherheit und Privatsphäre des Trackingschutzes von Apples Browser Safari festgestellt. Das schreibt das Team in seiner nun veröffentlichten Analyse. Apple hatte diese Probleme bereits im Dezember vergangenen Jahres öffentlich bestätigt und versucht, sie mit Updates für den Safari-Browser zu beheben.
Das Grundproblem, dass die Google-Entwickler dabei beschreiben, ist, dass die sogenannte Intelligent Tracking Prevention (ITP) des Browsers, also der eingebaute Trackingschutz, unter Umständen selbst wieder zum Tracking von Anwendern genutzt werden kann.
Wie der an den Arbeiten beteiligte Artur Janc dazu schreibt, habe das Entwicklerteam des Safari-Browsers zwar viel dafür getan, die unfreiwillige Trackingmöglichkeit zu verhindern. Das Problem komplett zu beheben, sei wohl aber sehr hart, so Janc.
Zustand eignet sich immer für Tracking
Das wiederum liegt schlicht an der Herangehensweise der ITP. Denn statt etwa eine statische Liste von Domains oder Ähnlichem vorzuhalten, erzeugt der Safari-Browser diese dynamisch an Hand des Surfverhaltens der Nutzer. Konkret überprüft werden dabei auf Webseiten extern eingebundene Domains. Werden diese von Nutzern oft genug aufgerufen, erkennt dies der Browser und wendet dann Trackingschutzmaßnahmen auf diese Domains an.
Wie die Forscher von Google nun ausführlich und anhand von Beispielcode erläutern, ist es darüber für Angreifer aber möglich gewesen, genau die Inhalte der gespeicherten Domainliste herauszufinden. Da sich diese je nach Nutzer voneinander unterscheiden, lassen sich Nutzer damit wiederum tracken. Die Safari-Entwickler haben aufgrund der Meldungen von Google nun wie erwähnt konkrete Gegenmaßnahmen in ihrem Browser umgesetzt.
Wie der Entwicklungschef des Chrome-Browsers bei Google, Justin Schuh, schreibt, habe das Chrome-Team mit seinem XSS-Auditor vor kurzem ähnliche Probleme gehabt und den betroffenen Code deshalb kurzerhand entfernt. Apple versuche hingegen, die Probleme lediglich zu umgehen, indem Mechanismen eingeführt werden, die Zustände speichern. "Das Hinzufügen eines Zustands führt jedoch häufig zu einer Verschlechterung von Datenschutz und Sicherheitsproblemen", schreibt Schuh auf Twitter.
Dieser Erkenntnis stimmt auch Janc prinzipiell zu. Er schreibt, die unerwartete Lektion der Arbeiten sei, dass man eine schlechte Zeit durchmachen werde, falls das Browserverhalten basierend auf lokal erfassten Daten geändert wird und diese Änderungen über das Web beobachtbare Folgen haben.
Das gelte aber eben nicht nur für die ITP im Safari, sondern auch für das vom Chrome-Team konzipiert Privacy Budget. Damit will Google einen Ausgleich zwischen personenbezogener Werbung und Datenschutz schaffen. Bei der Umsetzung dieser Idee werde sich das Team wohl mit denselben Problemen herumschlagen müssen, wie diese nun für den Safari-Browser beschrieben worden sind.