iPhones: Device Tracking selbst im Inkognito-Modus von Safari möglich

Mit dem Digital Markets Act der EU kommen zahlreiche Änderungen auf iPhone-User und Apple selbst zu. So soll es bald beispielsweise Fortnite inklusive eines Epic Games App Stores auf den iPhones geben. Doch damit einher gehen auch Herausforderungen. So hat ein User und iOS-Entwickler namens Mysk ein Video hochgeladen, das zeigt, dass ein Cross-Site-Tracking in der EU auch im Inkognito-Modus von Safari möglich ist.

Dafür verantwortlich ist wohl ein sogenanntes URI-Schema, das die Installation alternativer App-Stores über Websites ermöglicht. Vereinfacht ausgedrückt bedeutet das: Wenn auf einer speziell präparierten Website ein Code hinterlegt ist, versucht das iPhone einen alternative App Store herunterzuladen. Diese Anfrage wird dann zwar mit einem „Internal Server Error“ abgewiesen, doch im sogenannten Post-Request von Safari ist im Anschluss eine identifizierbare Client-ID enthalten.

Tracking auch im Inkognito-Modus möglich

Das bedeutet, dass jede Website, die dem auf dem iPhone hinterlegten Marketplace Kit vorgaukelt, hier gebe es einen alternativen App Store als Download, die Client-IDs der User auslesen kann – selbst im Inkognito-Modus. So wäre sogar eine Nachverfolgung möglich, da die Client-ID stets dieselbe bleibt. Es wären lediglich mehrere Websites mit entsprechendem Code notwendig.

Schutz gegen dieses Ausspähen bieten nur andere Browser. Denn während Safari die Daten weitergibt, wird der Post-Request bei anderen Browsern verhindert. Wer also Abhilfe schaffen will, muss derzeit umsatteln. [Update vom 2. Mai:] Apple hat mitgeteilt, dass das Problem bekannt ist und später mit einem Update behoben wird.