Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Mit iOS 14.5 wird Apple die Trackingabfragen für alle AppStore-Entwickler verpflichtend machen und Facebook läuft weiterhin Sturm gegen diese Neuerung. Zur Erinnerung: Künftig müssen App-Entwickler ihre Nutzer explizit darum bitten, das Tracking über verschiedene Apps und Webseiten zuzulassen. Da man sich bei Unternehmen wie Google und Facebook ganz offensichtlich darüber bewusst ist, dass die meisten Nutzer diesem Tracking aber wohl widersprechen werden, wetterte man bereits öffentlich gegen Apples neueste Datenschutzmaßnahme. Apple zeigte sich hiervon allerdings bislang mehr als unbeeindruckt und wird die neue Abfrage mit der finalen Version von iOS 14.5 nun endgültig einführen.

Vor dem Start der neuen Abfragen hat Facebook nun eine neue PR-Kampagne mit dem Titel "Good Ideas Deserve To Be Found" gestartet, in der man versucht darzustellen, wie kleine Unternehmen auf personalisierte Werbung angewiesen sind, damit sie überhaupt Geld verdienen und wachsen können. Dabei spielt Facebook natürlich indirekt auf Apples eingeschlagenen Weg in Sachen Datenschutz seiner Nutzer an. Die Kampagne soll für zunächst 12 Wochen auf  Facebook und auch in TV-Spots in den USA zu sehen sein, wie CNBC berichtet. Selbstverständlich geht man dabei auch darauf ein, wie Facebook den angesprochenen kleinen Unternehmen dabei hilft, zu wachsen, indem man ihnen personalisierte Werbung anbietet und Zugriff auf die Daten der Nutzer gewährt. Na wenn das mal kein Eigentor wird.

YouTube Direktlink

Die Mail-App HEY (kostenlos im AppStore) hat im vergangenen Jahr eine Menge Aufmerksamkeit bekommen, da Apple die App zwischenzeitlich wegen angeblicher Verstöße gegen die Regeln aus dem AppStore entfernte und anschließend eine öffentliche Auseinandersetzung mit den Entwicklern begann. Im Endeffekt einigte man sich und HEY steht inzwischen wieder zum Download bereit. Darin enthalten ist eine durchaus interessante Sicherheitsfunktion, auf die die meisten anderen Mail-Apps verzichten. Dazu gehört beispielsweise auch Apples Mail-App. Und das obwohl man sich in Cupertino ja stets mit seinen hohen DAtenschutzansprüchen rühmt. So enthält HEY eine Funktion, durch die sogenannte "Spy Pixel" in E-Mails nicht nur blockiert werden, sondern auch die betroffene Mail mit einem Badge versehen wird, das dies deutlich anzeigt.

"Spy Pixel" sind laut HEY inzwischen in zwei Drittel aller E-Mails enthalten. Prinzipiell handelt es sich dabei um unsichtbare, 1x1 Pixel große GIFs, die für den Empfänger unsichtbar in die Mails eingefügt sind. Wird die Mail geöffnet, werden diese Pixel von einem entfernten Server geladen. Durch die dabei zustandekommende Verbindung wird dem Betreiber dieses Servers nicht nur angezeigt, dass die Mail empfangen und geöffnet wurde, er erlangt auch Zugriff auf die IP-Adresse des Empfängers und somit auch auf dessen Standort. Der Blogger-Kollege John Gruber hat dieses Thema erst kürzlich wieder aufgegriffen und in einem Follow-Up Post auch Apple dafür kritisiert, dass die in iOS und macOS vorinstallierte Mail-App nichts gegen diese Praxis unternimmt.

Zwar ist es so, dass Apples Mail-App, wie auch die meisten anderen Mail-Clients, eine Möglichkeit bietet, das Laden von externen Inhalten zu unterbinden. Dies führt allerdings oftmals dazu, dass die heutigen, auf HTML-Code basierenden Mails kaum noch lesbar sind. Entscheidet sich der Nutzer dann per Mausklick doch dafür, die externen Inhalte zu laden, werden dabei dann auch die "Spy Pixel" mit heruntergeladen. Es gibt hier also nur die beiden Möglichkeiten ganz oder gar nicht. Man schüttet also quasi die Wanne mitsamt des Babys aus, wenn man auf den Herunterladen-Button klickt. Problematisch dabei ist zudem, dass zwar technisch versierte und interessante Nutzer wissen, dass man den Download von externen Inhalten unterbinden kann, die allermeisten Nutzer hierüber jedoch nicht Bescheid wissen und somit mit vielen erhaltenen Mails die "Spy Pixel" herunterladen und die Absender unbemerkt mit persönlichen Informationen versorgen.

In der HEY-App verfolgt man hingegen einen anderen als den Alles-oder-Nichts-Ansatz der meisten Mail-Apps und erklärt diesen auch auf einer eigenen Webseite. Demzufolge werden Mails automatisch auf Grafiken überprüft, die die typischen "Spy Pixel"-Muster aufweisen. Werden diese entdeckt, werden die entsprechenden Grafiken direkt entfernt. Zudem wird auch nach den angesprochenen 1x1 Pixel GIFs gesucht und auch diese entfernt. Auf diese Weise kann man nach Aussage der Entwickler bereits 98% der "Spy Pixel" und sonstige Tracking-Grafiken aufspüren und entfernen. In einem letzten Schritt wird die Mail dann auch noch über einen Anonymisierungs-Proxyserver geleitet, wodurch dem Absender keine Informationen des Empfängers mehr zugänglich gemacht werden, sollten es doch noch Spionage- und Tracking-Grafiken durch HEYs vorgeschaltete Filter geschafft haben. Die letztgenannte Barriere kann man sich also quasi wie eine Art VPN für E-Mails vorstellen.

Heutige Mail-Clients sind im Prinzip nichts anderes als Webbrowser, die auf die Anzeige von E-Mails spezialisiert sind. Die meisten dieser Mails werden wie gesagt heutzutage im HTML-Format versendet, also demselben Quellcode, auf dem auch Webseiten basieren. Dies ermöglicht die verschiedensten Formatierungen und eben auch die Einbindung von Grafiken und sonstigen Multimedia-Inhalten. Allerdings weisen die meisten Mail-Clients nicht annähernd die Sicherheitsfunktionen gegen schädlichen Code und Tracking-Technologien auf, wie die modernen Webbrowser.

Ich stimme Gruber voll und ganz zu, dass es sich hierbei um einen wirklich sinnvollen Ansatz handelt. E-Mails machen nach wie vor einen Großteil der heutigen Kommunikation aus und dennoch sind die dabei verwendeten Protokolle sicherheitstechnisch eigentlich eine Farce. Ein sicherheits- und datenschutzbewusstes Unternehmen wie Apple sollte seine Apple dringend mit einer ähnlichen Technologie ausstatten, wie HEY sie verwendet, zumal man wo wenn nicht in Cupertino sicherlich die Ressourcen hierfür haben dürfte. Speziell vor dem Hintergrund der ohnehin aktuell verschärften Maßnahmen gegen das sogenannte Cross-Site-Tracking wäre dies der nächste logische Schritt.

Eigentlich war die Neuerung bereits für iOS 14 angekündigt, mit iOS 14.5 wird der Schalter nun endgültig umgelegt. So werden die Nutzerabfragen zur Tracking-Erlaubnis ab den Versionen von iOS 14, iPadOS 14 und tvOS 14 in allen neuveröffentlichten und aktualisierten Apps Pflicht sein. Durch die neue Anforderung werden alle AppStore-Entwickler dazu verpflichtet, mit einem Popup die Erlaubnis des Nutzers abzufragen, ihn auf Basis seines sogenannten "Identifier for Advertisers" (IDFA) über Apps und Webseiten hinweg zu tracken. Der IDFA wird sowohl für das Einblenden von personalisierter Werbung, als auch zum Messen der Effektivität von Werbeeinblendungen genutzt. Künftig wird dann das unten zu sehende Popup bei der Nutzung einer App eingeblendet, über das der Nutzer dieser Praxis zustimmen oder sie ablehnen kann. Entscheidet man sich für Letzteres, verhindert Apple den Zugriff der App auf den IDFA. Versucht ein Entwickler diese Maßnahme zu umgehen, droht der Ausschluss aus dem AppStore.

Verschiedene große Unternehmen, deren Geschäftsmodell auf dem Verkauf von personenbezogenen Daten und personalisierter Werbung basiert, also vor allem Google und Facebook, haben Apples neue verpflichtende Maßnahme bereits öffentlicht kritisiert. Facebook schaltete beispielsweise in den USA ganzseitige Anzeigen, um gegen die neuen Regeln zu wettern. Die Electronic Frontier Foundation konterte diese Kritik allerdings kurz darauf als "lächerlich" und bezeichnete Apples Maßnahmen als "huge win for consumers". Auch Google schoss bereits gegen Apple und erklärte bereits, dass man den IDFA künftig nicht mehr in seinen eigenen Apps abfragen werde, weswegen die oben angesprochenen Popups in seinen Apps nicht zu erwarten sind.

Nun hat sich eine Gruppe von Werbeanbietern, bestehend unter anderem aus Liftoff, Fyber, Chartboost, Singular, InMobi und Vungle, zu sogenannten "Post-IDFA Alliance" zusammengeschlossen, in der man Werbetreibenden und App-Entwicklern Hilfestellungen an die Hand geben möchte, auf die neuen Anforderungen von Apple in iOS 14.5 zu reagieren (via Reuters). In diesem Rahmen sollen so beispielsweise Vorgehensweisen, Videos und Webinars bereitgestellt werden, in denen Techniken vermittelt werden, wie man auch künftig personalisierte Werbung einblenden und deren Effektivität messen kann, ohne dabei gegen Apples neue Regeln zu verstoßen.

Dieser Weg ist verglichen mit dem von Facebook und Google eingeschlagenen sicherlich der bessere, da es wohl keine andere Möglichkeit gibt, als sich an die neuen AppStore-Regeln zu halten. So wird auf der Webseite der Post-IDFA Alliance erklärt, was der mögliche Wegfall des Tracking eigentlich bedeutet und wie das alternativ durch Apple bereitgestellte SKAdNetwork funktioniert.

Es war zu erwarten, dass Google und Facebook gegen Apples mit iOS/iPad 14.5 und tvOS 14.5 kommende Abfrage zum Nutzer-Tracking Sturm laufen würden, da sie ihre Felle in Sachen Verkauf von Werbung und persönlichen Daten davonschwimmen sehen. Allein die Tatsache das die beiden Internetkonzerne gegen die neuen Abfragen wettern zeigt eigentlich schon, dass man sich durch die Einblendung des Popups ertappt fühlt und man sich sehr wohl darüber bewusst ist, dass ein Großteil der Nutzer das Tracking eigentlich nicht möchte. Zudem wird das Tracking mit den Abfragen ja nicht per se unterbunden, der Nutzer bekommt lediglich die Gelegenheit, hierüber zu entscheiden.

Bemerkenswert ist nun, dass Google offenbar darüber nachdenkt, eine ähnliche Abfrage in seinem Android-Betriebssystem einzuführen - allerdings in einer deutlich abgeschwächten Variante. So berichtet Bloomberg, dass die Neuerung in Android in direktem Zusammenhang mit Googles geplanten Datenschutzänderungen in seinem Chrome-Browser steht. Dort hatte der Suchmaschinen-Gigant angekündigt, Drittanbieter-Tracking-Cookies bis 2022 zu unterbinden. Dazu erklärt man:

"We're always looking for ways to work with developers to raise the bar on privacy while enabling a healthy, ad-supported app ecosystem."

In Chrome wird Google dazu eine sogenannte "Privacy Sandbox" einführen, über die Werbeanbieter Gruppen von Nutzern mit selben Interessen zusammenfassen können, nicht mehr jedoch individuelle Nutzer. Etwas ähnliches könnte dann künftig auch in Android umgesetzt werden. Ob dies aber das Cross-Site-Tracking tatsächlich unterbindet und ob der Nutzer hier auch (wie bei Apple) Eingriffsmöglichkeiten bekommt, ist aktuell noch unklar.

Wie soeben vermeldet, hat Apple am heutigen Abend neue Betaversionen von iOS/iPadOS 14 veröffentlicht und es geht langsam aber sicher in den Endpsurt bis zur Bereitstellung der finalen Version für alle Nutzer. Dann fehlen wird allerdings zunächst ein prominentes und groß angekündigtes neues Feature des neuen Betriebssystems. Die Rede ist dabei von den neuen Anti-Tracking Funktionen, über die sich zuletzt vor allem Facebook lautstark beschwert hatte. Zunächst hatten die Kollegen von The Information berichtet, dass Apple die neue Funktion verschieben wird, inzwischen wurde dies vom Unternehmen selbst auch offiziell bestätigt.

Diverse Entwickler hatten sich offenbar beschwert, nicht genügend Zeit bekommen zu haben, um die benötigten Veränderungen in Sachen Monetarisierung und Werbung umsetzen zu können. Dem Wunsch nach einer Verlängerung ist Apple nun offenbar nachgekommen und wird das Anti-Tracking Anfang kommenden Jahres nachreichen. Gegenüber TechCrunch erklärt Apple:

We believe technology should protect users’ fundamental right to privacy, and that means giving users tools to understand which apps and websites may be sharing their data with other companies for advertising or advertising measurement purposes, as well as the tools to revoke permission for this tracking. When enabled, a system prompt will give users the ability to allow or reject that tracking on an app-by-app basis. We want to give developers the time they need to make the necessary changes, and as a result, the requirement to use this tracking permission will go into effect early next year.