Teilen in zwei Schritten
macOS Sonoma: Neue Teilen-Funktion gibt Daten preis
Der Software-Entwickler und Sicherheitsexperte Jeff Johnson kritisiert die neue Funktionsweise des „Teilen“-Features von macOS Sonoma. Dieses würde beim Einsatz neuerdings dazu führen, dass Anwender persönliche Daten preisgeben würden, dazu gehören etwa IP-Adresse, Browser-Version und Details zur genutzten Hardware.
Die datenschutztechnische Signifikanz, der von Johnson entdeckten Neuerung, bewerten wir persönlich zwar nicht als schwerwiegend, finden die Änderung des Mac-Betriebssystems selbst jedoch interessant und möchten diese gerne an euch weiterreichen.
Teilen in macOS Ventura
Um genau zu verstehen, was sich unter macOS Sonoma geändert hat, sollte man zuerst einen Blick auf macOS Ventura werfen. Wollte man einen Link über die Teilen-Funktion im Kontextmenü an die Nachrichten-App oder per E-Mail weiterleiten, reichte ein Rechtsklick auf den entsprechenden Verweis.
Das Kontextmenü bot hier nun eine Teilen-Option an. Anwender konnten dort zwischen Nachrichten, AirDrop, E-Mail und weiteren Teilen-Optionen wählen. So weit, so unspektakulär.
Teilen in macOS Sonoma
Unter macOS Sonoma hat Apple das Teilen-Menü überarbeitet und bietet die Liste der möglichen Optionen hier nun in zwei Schritten an. Nach dem ersten Rechtsklick wählt man ‚Teilen‘ im Kontextmenü aus und bekommt anschließend ein weiteres Menü präsentiert, das die unterschiedlichen Optionen direkt unter dem Link einblendet.
Um das Icon der zu teilenden Webseite und deren Titel anzuzeigen, baut Safari hier nun eine Hintergrundverbindung auf und holt die entsprechenden Informationen von der verlinkten Seite ab. Dies geschieht auch, wenn externe Links zu Webseiten geteilt werden sollen, die selbst noch gar nicht im Browser angesteuert wurden.
Wie gesagt, anders als Johnson empfinden wir das neue Verhalten nicht als Verletzung der Privatsphäre, sondern schätzen die Komfort-Funktion. In Kenntnis um die neue Verhaltensweise zu sein kann jedoch nicht schaden.
Denkt ihr nicht, dass es eher ein gewünschtes Feature ist hin zum gläsernen auswertbaren User?
@“Berndt“: Was sind sie, ein Russen-Troll oder ein Paranoia-Abhängiger?
OFF TOPIC
Und bei iOS 17.1 ist das Sharesheet bisschen kaputt. Es laggt, Instagram lässt sich von da aus gar nicht aufrufen und friert die Foto App komplett ein, weder Neuinstallation noch Neustart liefern hier Abhilfe.
Ich teile nie!
Alles meins
Mega, musste wirklich lachen
Pun intended?
Ist die IP Adresse nicht durch private Relay geschützt?
Ist Private Relay nicht ein Feature nur für iCloud+ Abonnenten?
Ist iCloud+ nicht kostenpflichtig?
Doch, schon, das meinte ich mit Abo
Wenn es nur um das Teilen eines Links per E-Mail geht, kann man in Safari auch einfach auf der Tastatur „Cmd-i“ drücken und so das Teilen-Menü umgehen. Dann landet der Link ohne Umweg in einer neuen E-Mail.
Verdammt guter Tipp, kannte ich noch nicht, danke!
Nach dem Posten des Links in der E-Mail erstellt zumindest Apple Mail eine kleine Vorschau auf die Webseite. Somit werden dann auch typische Daten von HTTP(S)-Requests geschickt. Dies bringt dann nichts. Und statt Teilen, warum nicht den Link einfach per textuellem Copy&Paste? Wäre genauso „sicher“ wie der Vorschlag hier.
Übrigens: Wann wird das Teilen für den Link angeboten? Nach dem man die Seite aufgerufen hatte? Wenn ja, dann hatte man sowieso schon längst typische HTTP(S)-Request Daten geschickt.
Bringt vermutlich doch was, denn diese (unsägliche) Vorschau in Apple Mail lässt sich seit Sonoma in den Mail-Einstellungen wieder abschalten.
Na ja – ich teile Eure (ifun) Einschätzung überhaupt nicht und empfinde Eure Sichtweise auch als etwas naiv: Aus der aktuellen IP Adresse kann man mit IP Address Lookup Geolocation recht gut den ungefähren Standort ermitteln. Das dies möglich ist, ist vom „Teilenden“ nicht zwingend erwünscht oder sogar unerwünscht. Ebensowenig Cookies von Seiten zu sammeln, die man letztlich selbst nie besucht hat.
Dem kann ich mich nur anschließen: Sobald Personendaten dem Nutzer unbewusst geteilt und damit vervielfältigt werden, muss der betroffene Nutzer vorher darüber informiert werden, was genau alles an dieser Stelle geteilt wird. Privatsphäre und Datenschutz sind nicht disponibel, es sind Grundrechte und Abwehrrechte gegen Eingriffe von Unternehmen und Staaten. Diese schaffen durch die Datenverarbeitung ein Risiko und müssen sich darum kümmern, dass die Betroffenen stets zu ihren Rechten kommen können. Man kann nicht aus Komfortgründen auf ein Grundrecht verzichten. Wenn nicht informiert wird, keine Eingriffsmöglichkeit angeboten wird, um die Daten einzuschränken und Personendaten verarbeitet werden, ist dies illegal und setzt die Grundsätze der DSGVO eben nicht um.
Und wieso nutzt ihr hier die Seite? Ihr wisst schon wohin eure Daten gehen?
Schaut mal nach den Skripten hier um. Ich mag diese Doppelmoral nicht.
+1
@Dein Gewissen
Was für eine Doppelmoral? Hast Du den Artikel überhaupt gelesen und zudem auch verstanden? Wenn ich eine Seite bewusst ansteuere ist das meine Entscheidung – mit allen Konsequenzen.
Wenn aber, nur weil ich eine Adresse weitergeben will, die ich selbst gar nicht aufrufe, mein Standort ermittelbar ist, weil meine IP ungefragt weitergegeben wird, dann ist das ein eklatanter Unterschied. Würdest Du jedem Deinen Standort mitteilen wollen, nur weil man Dich nach dem Zahnarzt in Stadt xy fragt?
Da gebe ich diesmal @“Dein Gewissen“ Recht. Dies ist nicht so problematisch, sondern fühlt sich nach kostenloser Werbung für seine Apps und als versuchte Reputation als vermeintlicher „Sicherheitsforscher“. Wenn ich schon lese, dass er ganz aufgeregt empört betont, was „Little Snitch“ meint, welche Verbindungen und Daten das System schickt, dann hört sich das nach einem Möchtegern-Sicherheitsforscher an. Es werden keine Personendaten geschickt (Lüge von @“HansMaier80″), sondern nur ein paar HTTP(S)-Request-Daten, wie das bei nahezu jedem Browser üblich ist (auch bei Browser, die mit Privatsphärenschutz werben, weil das keine wirklich schützenswerte Daten sind). Und per IP-Adresse kann man nicht immer den ungefähren Ort ermitteln (Proxy und/oder VPN!).
(Wenn man schon ein Sicherheitsforscher ist, dan legt man im Netzwerkverkehr dazwischen einen anderem Host, der Vorzugsweise mit einer Linux oder Unix Distribution läuft, welcher dann mit Wireshark den angefallenen Netzwerktraffic aufzeichnet.)
Dies ist vollkommen übertrieben und klingt nach jemand, der zum ersten Mal erfahren hat, welche Daten bei HRTP(S)-Requests übermittelt werden.
Absolut jeder, der mit einem Browser eine Seite ansteuert, übermittelt dem Host, der als Webserver fungiert, mehrere Daten wie user agent (darunter steht oft browser name, browser engine, Betriebssystem und deren Versionen), welche Encodings ok sind, auch verwendete Browser-Addons (damit der Server entscheiden kann in welchem Format es z.B. Videos liefern kann (ob in Macromedia Flash oder mp4 oder anderem unterstützten Videoformat), damit sie vom Browser dargestellt werden können). Deshalb ist dies keine Datenschutzverletzung, sondern ganz natürlich für das Websurfen. Und auch wenn es nur das Favicon vom Webserver, wo die Webseite gehostet wird, geladen wird (und evtl. Titel und evtl. sogar etwas Übersicht), funktioniert dies nur durch HTTP(S)-Requests. Klar, man könnte gewisse gelieferte Metadaten reduzieren (z.B. beim Firefox gibt es Addons, wodurch man den user agent fälschen kann oder etwas anderes vortäuschen kann (z.B. kann von einem Desktop-System ein mobiler Browser einer bestimmten Art vorgetäuscht werden, was nützlich ist z.B. zum Entwickeln und Testen mobiler Seiten)), aber das ist nicht so relevant.
Was wegen dem Icon natürlich sich nie vermeiden lässt, dass der Host, von dem man Daten anruft, die IP-Adresse erfährt. Dies kann man durch ein Proxy oder VPN verstecken, aber so privat ist das nicht. Die beim Internetnutzer vergebenen privaten IP-Adressen sind schließlich nicht statisch, sondern werden nach einer bestimmten Zeit immer wieder neu vergeben (oft inzwischen nach 90 Tagen, früher nach spätestens 24h, aber wegen aufkommenden VoIP gab es immer mehr Probleme, weshalb dies verlängert wurde). An der IP-Adresse kann man vom Benutzer öffentlich nur erfahren, in welcher Region dieser ist, wenn er keinen Proxy und/oder VPN nutzt. Durch reverse lookups kann man in der Regel erfahren, welcher Provider den Internetdienst bei dem Benutzer anbietet. Das war schon immer so und nichts fürchterlich neues.
Dieser Typ versucht nur irgendwie Aufmerksamkeit zu erheischen und macht dann Werbung für seine Apps damit, was dann nur beiläufig erscheint (oder er ist tatsächlich jemand, der mit dem Halbwissen prahlt, dass im Netz der Netze vieles doch nicht so privat ist, wie es wohl einige Internetuser meinen, weil sie nie einen „Internetführerschein“ gemacht haben).