Jahrelang schien der Datensammelwut großer – und auch kleiner – IT-Konzerne kaum eine Grenze gesetzt. Doch in den vergangenen Jahren hat sich das Blatt gewendet. Immer mehr Browser werben mit Anti-Tracking-Funktionen, iPhone-Hersteller Apple hat im Vorjahr mit der "App Tracking Transparency" dem grenzenlosen Ausspionieren der Nutzeraktivitäten über mehrere Apps hinweg einen Riegel vorgeschoben. Eine von Datenschützern mit viel Lob bedachte Entwicklung, wie viel es aber selbst in der Apple'schen Smartphone-Welt in dieser Hinsicht noch zu tun gibt, zeigt nun eine neue Untersuchung auf.

Mächtige Möglichkeiten

Softwarehersteller Meta könnte theoretisch alles, was die Nutzer auf aus den eigenen Facebook-, Instagram- und Messenger-Apps am iPhone geöffneten Webseiten tun, mitlesen – und zwar wirklich lückenlos. Davor warnt der aus Wien stammende Softwareentwickler Felix Krause in einem Blogeintrag, den DER STANDARD bereits vorab einsehen konnte.

Der Grund dafür: Beide Apps verwenden einen sogenannten In-App-Browser, der von Meta selbst entwickelt wurde. Klickt man nun bei Instagram oder Facebook auf einen externen Link, öffnet sich dieser statt des eigentlichen Browsers am System – was in den meisten Fällen wohl Safari wäre. Ein eigener Browser bedeutet aber auch, dass dessen Hersteller einen weitreichenden Zugriff auf die Inhalte hat.

Tracking-Code

Leider bleibt es im konkreten Fall nicht bei der Theorie, wie Krause herausgefunden hat: Sowohl die Facebook- als auch die Instagram-App für iPhones fügen auf jeder in besagtem In-App-Browser aufgerufenen Webseite ein Stück Javascript-Code ein – und zwar eines, das explizit für User-Tracking gedacht ist.

Über diesen Code könnte Meta prinzipiell sämtliche User-Aktivitäten haargenau verfolgen, das inkludiert, auf welche Elemente geklickt wird, oder auch die Möglichkeit, Screenshots anzulegen. Theoretisch könnte das Unternehmen selbst hochsensible Daten wie Passwörter oder Kreditkartennummern mitlesen. All das, ohne je dafür eine Zustimmung der Nutzer oder auch der betroffenen Webseitenbetreiber eingeholt zu haben.

Zunächst nur ein Potenzial

Krause betont, dass das nicht heißt, dass der Softwarehersteller all diese Möglichkeiten auch wirklich aktiv verwendet. Welche Daten Meta auf diesem Weg tatsächlich sammelt, lässt sich nicht so einfach sagen. Das Unternehmen würde mehrere Ebenen an Verschlüsselung und Verschleierung verwenden, um diese Aktivitäten geheim zu halten, betont Krause.

Gleichzeitig stellt sich natürlich die Frage, warum sich ein Unternehmen die Arbeit – und den finanziellen Aufwand – antun sollte, nicht nur einen eigenen In-App-Browser zu entwickeln, sondern dann noch ein Tracking-Skript in alle Seiten zu injizieren, wenn man diese Möglichkeiten dann gar nicht einsetzt. Immerhin könnte man für diese Aufgaben auch auf vorgefertigte Angebote von Apple zurückgreifen – oder gleich den Default-Browser verwenden. Das sind auch jene Optionen, zu denen Apple selbst rät.

Eine Anfrage des STANDARD an Meta, welche Daten auf diesem Weg konkret gesammelt werden, blieb vorerst unbeantwortet. Auch Fragen zu weiteren Details wurden nicht kommentiert. Update 12.8: Mittlerweile hat sich Facebook zu Wort gemeldet und widerspricht den Vorwürfen. Auf all das wird in einem eigenen Artikel eingegangen, also bitte diesen ebenfalls nachlesen.

ATT ausgetrickst

Der Softwareentwickler sieht in dieser Maßnahme jedenfalls nicht zuletzt eine Umgehung der erwähnten "App Tracking Transparency" – kann doch Facebook so klare Zusammenhänge zwischen den Aktivitäten einzelner Nutzer auf unterschiedlichen Webseiten herstellen, ohne jene explizite Zustimmung, die die ATT sonst vorschreibt.

Der verwendete Code ist übrigens nicht geheim. Es handelt sich um das sogenannte Meta Pixel, das Webseitenbetreiber zum Tracking von Nutzeraktivitäten mithilfe von Facebook/Meta gezielt in ihre Pages einbauen können. Der Unterschied in diesem Fall ist, dass hier nicht einmal der Webseitenbetreiber ein Mitspracherecht hat, wenn die Nutzer über dessen Page getrackt werden.

Regelverschärfung

Krause übt dabei auch Kritik an Apple: Das Unternehmen müsse die App-Store-Regeln verschärfen, um genau solche Tricks zu unterbinden. Immerhin wird damit der Anti-Tracking-Schutz umlaufen. Zudem will der Entwickler mit dem Beitrag auch generell auf die Problematik von In-App-Browsern und deren mächtige Möglichkeiten hinweisen.

Ausweg

Für betroffene Nutzer gibt es einen recht simplen Ratschlag, alldem zu entgehen – können doch in den betreffenden Apps Links über das Kontextmenü gezielt direkt in Safari geöffnet werden, womit das Tracking von Meta nicht mehr greifen kann. Alternativ könnten auch einfach die mobilen Webseiten der beiden Dienste verwendet werden, streicht Krause heraus. Denn auch diese laufen im Safari oder einem anderen Browser der eigenen Wahl, wo Meta keine solchen Manipulationen in Hinblick auf externe Links vornehmen kann.

Zeitlicher Ablauf

Der Softwareentwickler hat all diese Informationen übrigens bereits am 9. Juni an Meta gemeldet. Nach einer kurzen Bestätigung, dass man dieses Verhalten reproduzieren könne, kehrte aber Funkstille durch den Konzern ein. Also setzte Krause dem Unternehmen eine angemessene Frist zur Öffentlichmachung, worauf Meta allerdings ebenfalls nicht mehr reagierte. Diese Frist ist nun abgelaufen.

Die Forderung an Meta ist dabei eine recht simple: diese Aktivitäten ersatzlos zu streichen. Dabei könnte man durchaus firmenintern etwas lernen, bei Whatsapp zeigt sich am iPhone nämlich kein solches Verhalten.

Android?

Auf Nachfrage des STANDARD betont Krause, dass er sich für seine Recherche zwar auf iOS konzentriert hat, Meta solche Methoden aber offenbar auch unter Android einsetzt. Konkret habe er bei der Instagram-App für Googles Betriebssystem ein vergleichbares Verhalten gefunden, auch dort wird Javascript-Code auf alle mit dem In-App-Browser geöffneten Webseiten eingeschmuggelt.

Vorgeschichte

Krause hat sich in der Vergangenheit bereits mehrfach mit Artikeln zum Thema Privatsphäre und iPhone einen Namen gemacht. So zeigte er im Jahr 2017 ein strukturelles Defizit im Berechtigungssystem von iOS auf, über das jede App mit Zugriff auf lokal gespeicherte Fotos die Standortbewegungen der User detailliert verfolgen konnte. Apple besserte daraufhin nach, auch unter Android ist das heutzutage so nicht mehr möglich. Zwei Jahre zuvor wurde Krauses Start-up Fastlane von Twitter gekauft, vorübergehend war er auch bei Google beschäftigt. (Andreas Proschofsky, 10.8.2022)