Cupertinos Browser soll das Surfen der Nutzer vor Tracking-Risiken schützen, aber laut Google begünstigen einige Schwachstellen Hacker
Wer glaubt, dass das Surfen im Web mit Safari seine Privatsphäre garantiert, weil Safari bekanntlich eine Funktion hat, die Websites daran hindert, das Nutzerverhalten zu verfolgen, der irrt: Genau diese Funktion kann genutzt werden, um Informationen über ihn zu sammeln. Google hat dies entdeckt.
Bei der fraglichen Funktion handelt es sich um die "Intelligente Tracking-Verhinderung", besser bekannt als ITP, die mit Hilfe künstlicher Intelligenz "lernt", welche Websites Tracking zulassen und welche nicht. Es wird seit 2017 verwendet und war seither einer der Stolz von Safari, aber jetzt kann sein Ruf (und der von Safari selbst) nur stark geschwächt werden. Google hat nämlich herausgefunden, dass es gerade durch die Ausnutzung einer Schwachstelle im ITP-System möglich ist, viele Informationen über das Surfen des Benutzers zu sammeln, seine Historie der besuchten Websites zu lesen und schließlich den Weg des Benutzers von einer Website zur anderen zu verfolgen.
Seitenübergreifendes Tracking
Eine der wirksamsten Methoden, um die über einen Internetnutzer gesammelten Informationen gewinnbringend zu nutzen, ist das so genannte "seitenübergreifende" Tracking, das darin besteht, das "Zappen" des Nutzers von einer Website zu einer anderen zu verfolgen, um ihm die gleichen Werbebanner anzubieten. Wenn Sie sich jemals gefragt haben, warum Sie auf allen Websites die gleiche Werbung sehen, dann liegt das zum Teil an dieser Technologie. Seit iOS 11 und macOS High Sierra im Jahr 2017 hat Apple dafür die ITP-Technologie eingeführt, die auch verhindert, dass unser Tracking-Code zwischen Websites ausgetauscht wird. Das Blockieren des Cross-Site-Trackings ist in Safari standardmäßig aktiviert, der Nutzer muss es selbst deaktivieren, wenn er es möchte.
Das ITP-Problem
Nun erklärt Google jedoch, dass die ITP-Technologie eine Liste von Informationen über die vom Nutzer besuchten Websites speichert. Wenn es einem Hacker gelingt, an diese Liste heranzukommen, hat er den Jackpot geknackt: Er findet darin sogar noch mehr Informationen als beim Cross-Site-Tracking. Google hat auch gezeigt, dass es möglich ist, diese Informationen mit mindestens fünf verschiedenen Arten von Angriffen zu erhalten.
Alles behoben?
Google hat Apple nach der Entdeckung dieser Schwachstelle gewarnt, sie zu beheben. John Wilander, ein Apple-Ingenieur, der das ITP-Entwicklungsteam leitet, sagte, dass alle Probleme bis Dezember 2019 behoben worden seien. Vor ein paar Tagen erklärte jedoch der für die Sicherheit von Chrome zuständige Ingenieur Justin Schuh auf Twitter, dass die Probleme von Safari nach wie vor vorhanden sind.