Nur in der EU: Safari auf iOS ermöglicht Device Tracking
Auch im Inkognito-Modus bleibt ein iPhone auf einer entsprechend präparierten Webseite identifizierbar. Verantwortlich ist ein neues URI-Schema für alternative App-Stores.
Der iOS-Entwickler Mysk hat ein Video veröffentlicht, in dem er die Möglichkeit des Cross-Site-Trackings von iOS-Geräten in der EU über den Safari-Browser demonstriert. Verantwortlich dafür soll ein neues URI-Schema sein, das die Installation von alternativen App-Stores von einer Webseite ermöglicht. Safari führt auch dann Marketplace Kit aus, wenn die Webseite gar nicht zu dem App-Store gehört.
Nur zehn Zeilen Code sorgen dafür, dass Marketplace Kit im Anschluss versucht, einen alternativen App-Store zu downloaden. Dies scheitert zwar bereits an der Autorisierung und wird mit HTTP-Code 500 "Internal Server Error" quittiert, im POST-Request von Safari ist aber eine eindeutig identifizierbare Client-Id enthalten.
Solange die Attribute "adpURL" und "storeAccountName" einem zugelassenen Marktplatz entsprechen, schickt Marketplace Kit die besagte Client-Id ohne weitere Autorisierung. Auch JWT-Tokens würden laut Mysk nicht validiert und weitergegeben.
Nur Nutzer in der EU betroffen
Die gesendete Id bleibt dabei auch bei unterschiedlichen Webseiten immer gleich, so dass sich diese lediglich untereinander austauschen müssen, um Geräte über mehrere Webseiten nachverfolgen zu können. Die geschieht auch, wenn Safari im Inkognito-Modus ist. Andere Browser blockieren den Kontaktversuch und senden den POST-Request samt Payload mit Client-Id nicht.
Da Apple nur innerhalb der EU verpflichtet ist, alternative App-Stores anzubieten, und spezielle Anpassungen nur für diese Region vorgenommen hat, funktioniert der Angriff in anderen Regionen nach bisherigem Kenntnisstand nicht. Wirksamen Schutz bieten aktuell nur andere Browser.
Das ist nicht der Punkt. Das Gesamtsystem wird durch die Zwangsöffnung in jedem Fall...
Dafür muss man kein Ottonormal-Applenutzer sein, die Kausalität ist recht klar: - EU...
Tja, Apple hat nen Fehler gemacht (und ich bezweifle, dass dieser Identifier überhaupt...
Kommentieren