Nur in der EU: Safari auf iOS ermöglicht Device Tracking

Der iOS-Entwickler Mysk hat ein Video veröffentlicht, in dem er die Möglichkeit des Cross-Site-Trackings von iOS-Geräten in der EU über den Safari-Browser demonstriert. Verantwortlich dafür soll ein neues URI-Schema sein, das die Installation von alternativen App-Stores von einer Webseite ermöglicht. Safari führt auch dann Marketplace Kit aus, wenn die Webseite gar nicht zu dem App-Store gehört.

Nur zehn Zeilen Code sorgen dafür, dass Marketplace Kit im Anschluss versucht, einen alternativen App-Store zu downloaden. Dies scheitert zwar bereits an der Autorisierung und wird mit HTTP-Code 500 "Internal Server Error" quittiert, im POST-Request von Safari ist aber eine eindeutig identifizierbare Client-Id enthalten.

Solange die Attribute "adpURL" und "storeAccountName" einem zugelassenen Marktplatz entsprechen, schickt Marketplace Kit die besagte Client-Id ohne weitere Autorisierung. Auch JWT-Tokens würden laut Mysk nicht validiert und weitergegeben.

Nur Nutzer in der EU betroffen

Die gesendete Id bleibt dabei auch bei unterschiedlichen Webseiten immer gleich, so dass sich diese lediglich untereinander austauschen müssen, um Geräte über mehrere Webseiten nachverfolgen zu können. Die geschieht auch, wenn Safari im Inkognito-Modus ist. Andere Browser blockieren den Kontaktversuch und senden den POST-Request samt Payload mit Client-Id nicht.

Da Apple nur innerhalb der EU verpflichtet ist, alternative App-Stores anzubieten, und spezielle Anpassungen nur für diese Region vorgenommen hat, funktioniert der Angriff in anderen Regionen nach bisherigem Kenntnisstand nicht. Wirksamen Schutz bieten aktuell nur andere Browser.