Tracking-Daten mit Konten verknüpft?!
Neue Erkenntnisse: Apples App Store wohl deutlich Neugieriger als angenommen
Unter dem Pseudonym Mysk macht ein Team von Sicherheitsforschern seit einiger Zeit auf datenschutztechnisch bedenkliche Vorkommnisse aufmerksam, was die Auswertung von Nutzer-Daten durch Apple angeht.
Eindeutiges Versprechen: Eine Datenverknüpfung findet nicht statt
Zuletzt kritisierten diese Anfang November das übermäßige Nutzer-Tracking, mit dem Apple Besuchern des App Stores auf Schritt und Tritt folgt und hier nahezu alle Interaktionen mit dem hauseigenen Software-Kaufhaus dokumentiert.
Nutzer-Tracking im App Store
Was damals vor allem kritisiert wurde: die umfangreiche Datensammlung erfolgte auch bei Anwendern, die der Nutzung der eigenen Daten für die Ausspielung von personalisierter Werbung aktiv widersprochen hatten. Bereits mit der Ausgabe von iOS 14.6, so die Sicherheitsforscher damals, soll Apple mit der detaillierten Datenerfassung der App Store-Besucher begonnen haben.
Dies hat natürlich ein Geschmäckle: Führte Apple erst mit Ausgabe von iOS 14.5 die so genannte „App Tracking Transparency“-Abfrage ein, mit der Drittanbieter mit ähnlichem Datenhunger seitdem um die Erlaubnis zur Datensammlung bitten müssen. Als Plattform-Betreiber nimmt sich Apple selbst von diesen Vorgaben offenbar komplett aus und setzt das Einverständnis der Anwender, was die eigene Datensammlung angeht, als gegeben voraus.
Mit iCloud-Konten verknüpft
Und eben jene Datensammlung scheint noch einen Zacken umfangreicher auszufallen als bislang vermutet. So wollen die Sicherheitsforscher von Mysk nun in Erfahrung gebracht haben, dass Apple die gesammelten Analyse-Daten mit den persönlichen iCloud Konten seiner Nutzer verknüpft und so die Rückschlüsse auf einzelne Anwender-Konten zulässt.
🚨 New Findings:
🧵 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you 👇 pic.twitter.com/3DSUFwX3nV— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022
Sollten die neuen Erkenntnisse zutreffen, die die Entwickler mit mehreren Bildschirmfotos des mitgeschnittenen Datenverkehrs zu belegen versuchen, widerspräche dies den Beteuerungen Apples, Analysedaten nur so zusammenzustellen, dass diese eben keine Rückschlüsse auf persönlich identifizierbare Daten zulassen. Bei Mysk stellt man fest:
Das bedeutet, dass dein detailliertes Verhalten beim Browsen von Apps im App Store an Apple gesendet wird und die ID enthält, die benötigt wird, um die Daten mit Dir zu verknüpfen. Wir haben in diesem Video die umfangreichen Details gezeigt, die der App Store an Apple sendet, und diese sind sind alle mit Dir verknüpft.