Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Wie Push-Nachrichten Nutzer identifizierbar machen

Als Immer-dabei-Computer hat das iPhone für viele Anwender die Aufgabe übernommen, auf mehr oder minder Wichtiges zeitnah hinzuweisen. Damit das klappt, verschicken Apps und Websites Push-Nachrichten. Sie dürfen auch auf dem Sperrbildschirm erscheinen und wecken die dazugehörigen Apps kurz auf, auch wenn sie nicht aktiv sind. Die Infrastruktur dafür stellt Apple – und schränkt deren Benutzung ein, um Missbrauch zu verhindern. Wie sich herausstellt, genügen die aktuellen Einschränkungen allerdings nicht, um TikTok, Facebook, X und LinkedIn von ihrem Ziel abzubringen.


Das deutsch-kanadische Sicherheitsforscher-Duo Mysk hat den Netzwerkverkehr einiger Apps beobachtet, die Push-Nachrichten empfangen. Dabei konnten sie mindestens einen Indikator ausmachen, der iPhone-Nutzer recht eindeutig identifiziert, und zwar über das Nutzerkonto beim jeweiligen Dienst hinweg.

Auffälliger Datentransfer
Für ihre Untersuchung setzten sie ein präpariertes drahtloses Netzwerk auf, das sie mit dem Netzwerkdiagnosewerkzeug Proxyman beobachteten. Damit lässt sich detailliert auflisten, welche App wohin welche Informationen sendet und welche sie selbst aus dem Netz holt. In gewisser Weise ist dies auch notwendig, denn Apples Push-Nachricht liefert nur den Hinweis, dass es etwas Neues gibt. Die dazugehörige App zieht dann den Inhalt (Textnachricht, erfolgreiche Ersteigerung, Gefällt-mir-Klicks) von seinen eigenen Servern und zeigt sie auf dem Sperrbildschirm. Doch fiel ihnen dabei auf, dass viele Apps auch Daten sendeten – sowohl beim Empfang der Nachricht, als auch, wenn der Nutzer sie auf dem Sperrbildschirm löscht. Ein gut sechsminütiges Video erklärt den Hintergrund und dokumentiert, welche Apps was senden und empfangen.


Einschaltzeit als Identifikator
In den unterschiedlichen Datensammlungen konnte das Duo dabei einen Faktor entdecken, der über alle beobachteten Dienste hinweg gleich oder ähnlich war. X, TikTok, Facebook und LinkedIn senden die Einschaltzeit des Geräts, auf die Millisekunde genau. Damit ist das iPhone recht eindeutig identifizierbar, unabhängig vom Nutzerkonto. Das freut Werbenetzwerke, die auf diese Weise ein dienst-übergreifendes Profil erstellen können. Zum Versenden dieser Daten verwendeten alle Apps Firebase, Googles App-Entwicklungsplattform.

Microsofts LinkedIn als Datenverkehr-Spitzenreiter
Trauriger Spitzenreiter im Push-induzierten Datentransferwettrennen war das zu Microsoft gehörende Business-Netzwerk LinkedIn. In Mysks Analyse löste das Löschen einer Mitteilung auf dem Sperrbildschirm eine ganze Kaskade an Datenempfang und -versand aus, deren Volumen kaum mit dem Darstellen der Nachricht nur schwer in Einklang gebracht werden kann.

Die Kaskade an Netzwerktransfers bei LinkedIn kommentierten die Sicherheitsforscher mit einem Explodierender-Kopf-Emoji.

Apple plant bereits Einschränkungen
Offenbar ist dem iPhone-Hersteller diese unnötigen Datentransfers bereits ein Dorn im Auge und plant Einschränkungen: Zukünftig werden App-Entwickler genau darlegen müssen, welche Aktivitäten eine App rund um Push-Nachrichten entfaltet, und warum diese notwendig sind, merkt Mysk am Ende des Videos an.

Kommentare

tk69
tk6925.01.24 17:55
Ist das bei anderen Betriebssystemen auch so?
0
MikeMuc25.01.24 18:05
tk69
vermutlich schon, warum sollte es dort auch anders bzw. besser sein?
+1
dpboom
dpboom26.01.24 13:24
Das wird mit Third Party AppStores und Sideloading noch ein großer Spaß...
+1
strateg
strateg26.01.24 13:51
dpboom
Das wird mit Third Party AppStores und Sideloading noch ein großer Spaß...

das ist ja das unausgesprochene ziel dieser neuen apps stores — noch mehr daten sammeln & geld verdienen!
cuntentientscha, attentivitad, curaschi —
+3
TotalRecall
TotalRecall26.01.24 16:35
... aber nur wer sich darauf einlässt
strateg
dpboom
Das wird mit Third Party AppStores und Sideloading noch ein großer Spaß...
das ist ja das unausgesprochene ziel dieser neuen apps stores — noch mehr daten sammeln & geld verdienen!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.