Sicherheitsrisiko: Apple schickt insgeheim Nutzerdaten nach China

Die Worte „Sicherheit“, „Internet“ und „China“ im selben Satz zu verwenden ist momentan nur in einem Zusammenhang möglich: Sie passen partout nicht zusammen. Neben Huawei steht nun auch Apple in der Kritik, Nutzerdaten nach China zu schicken – und das ausgerechnet für die Überprüfung nach betrügerischen Webseiten-Inhalten.

Mit steigender Komplexität des Internets wird es für den Otto-Normal-Verbraucher immer schwieriger, sich zwischen sicheren und unsicheren Webseiten und Inhalten zu entscheiden. Fast alle Browser nehmen dem Nutzer diese sicherheitskritische Funktion ab. Ausgerechnet Apple verlagert diese Prüfung jedoch nach China.

Die Safari-Funktion – unter iOS und macOS „Fraudulent Website Warning“ (Warnung vor betrügerischen Webseiten) genannt – soll die Online-Sicherheit erhöhen, indem sie URLs auf einem externen Blacklist-Service wie Google und Tencent abgleicht.

„Diese Funktion scheint in iOS Safari standardmäßig eingeschaltet zu sein, was bedeutet, dass möglicherweise Millionen von Benutzern betroffen sein könnten“, so Kryptographieprofessor Matthew Green von der John Hopkins Universität.

Tencent ist einer der größten IT-Konzerne weltweit und steht unter der Kontrolle der Kommunistischen Partei Chinas. Heise.de schreibt: „Der Firma gehört unter anderem die Messaging-Plattform WeChat, die Forschern zufolge Inhalte in Echtzeit zensieren kann.“

Unverschlüsseltes Übermitteln von URLs „zu Sicherheit der Nutzer“

Damit Warnung vor betrügerischen Webseiten funktioniert, senden nahezu alle Browserhersteller einschließlich Apple und Mozilla, „Informationen, die aus der Adresse der Website berechnet wurden, an die Anbieter von Safe Browsing, um zu überprüfen, ob die Website betrügerisch ist“, so Green. Dies beinhaltet gleichzeitig die potenzielle Erfassung Ihrer IP-Adresse und Ihren Browserverlauf.

Dabei sind Google und Tencent einige der wichtigsten Anbieter für sicheres Surfen. Das Angebot von Google wurde von den meisten modernen Browsern (unter anderem Chrome, Opera und Firefox) angenommen. Microsoft hat ebenfalls ein ähnliches Cloud-basiertes Anti-Phishing und Anti-Malware-Tool namens SmartScreen in die meisten seiner Produkte wie Windows, Internet Explorer, Microsoft Edge und Outlook integriert.

Bislang gibt es keine Hinweise darauf, dass Tencent tatsächlich IP-Adressen von Nutzern mit Wohnsitz außerhalb Chinas sammelt. Es ist jedoch nicht ganz klar, wann Apple das Unternehmen zusammen mit Google in die Liste aufgenommen hat. Nutzer entdeckten Tencent unter anderem in den Datenschutzhinweisen von iOS 12.2, welches Anfang des Jahres erschien.

Green erklärt weiter, dass die Safe-Browsing-Anbieter Daten erhalten die „gehasht“ sind, also in diesem Fall mit einer 32-Bit-Verschlüsselung versehen sind. Ein großer Anbieter mit Millionen Anfragen könne User jedoch ent-anonymisieren. Mit anderen Worten: der Server weiß, welche URL Sie nachschlagen.

Safari nutzt Safe Browsing, um Phishing-Websites auf Apple-Geräten zu identifizieren

Die Open-Source WebKit Browser-Rendering-Engine, die die Grundlage für Safari bildet, unterstützt auch Browser von Drittanbietern, die auf iOS verfügbar sind.  Google wiederum stellt zwei verschiedene Safe Browsing-APIs zur Verfügung – eine Lookup- und eine Update-API, von denen die erste es Browsern ermöglicht, URLs im Klartext an den Google Safe Browsing-Server zu senden, um deren Status zu überprüfen. Der fehlende Schutz der Privatsphäre ist Google bekannt.

Wann immer Apple eine kleine neue Datenschutzfunktion ankündigt, tun sie es auf der Bühne mit hundert Reportern, die klatschen. Aber wenn sie alle Ihre Browsing-Daten an einen Server in China senden wollen? Das erfährst du nur durch das Kleingedruckte“, fasst Green zusammen.

Heise.de schreibt abschließend: „laut Apple kommt Tencent Safe Browsing nur zum Einsatz, wenn die iPhone-Region auf China (Festland) eingestellt ist – sonst wird weiterhin Google verwendet.“

Deaktivieren der Funktion

Unabhängig davon, ob der Anbieter für sicheres Surfen Google oder Tencent ist und egal wo Sie sich befinden, können Sie diese Einstellung deaktivieren. Gegebenenfalls müssen Sie dies nach dem Update auf eine neue iOS Version jedoch wiederholen.

iOS: Einstellungen > Safari > Betrügerische Webseiten-Warnung deaktivieren

macOS: Safari > Einstellungen > Sicherheit > Deaktivieren Sie die Warnung beim Besuch einer betrügerischen Website. (ts)

So können Sie die Safe-Browsing-Einstellung auf dem iPhone ändern. Foto: ts/Epoch Times