Bei einem sind sich Datenschützer weitgehend einig: Apples "App Tracking Transparency" (ATT) ist ein wichtiger Fortschritt in Sachen Privatsphäre. Gleichzeitig sind die Erwartungen an diese zum Teil weit überzogen. Das Allheilmittel gegen Tracking, als das sie zum Teil angepriesen wurde, ist die ATT jedenfalls nicht. Daran erinnert nun eine neue Untersuchung, die damit auch vor einem verfehlten Sicherheitsgefühl warnen will.

Konsequenzen

Forscher von der Universität in Oxford haben sich im Rahmen einer Studie die Auswirkungen der ATT näher angesehen. Ihre Ergebnisse fallen ernüchternd aus. Nicht nur, dass viele Apps mittlerweile neue Wege zum Tracking beschreiten. Gerade für größere Firmen wäre es eigentlich kein Problem, die Nutzer weiterhin App-übergreifend zu tracken – also genau das, was die ATT eigentlich verhindern soll.

Zum Teil dürfte das auch an falschen Erwartungshaltungen liegen. Hat doch Apple mit der ATT genau genommen nur eine Änderung durchgesetzt: Der Zugriff auf die von Apples selbst ein paar Jahre zuvor eingeführte Werbe-ID IDFA wird auf diesem Weg beschränkt. Programme, die diese für App-übergreifendes Tracking nutzen wollen, müssen sich die explizite Zustimmung der User einholen – die das aber in den allermeisten Fällen ablehnen, wie Statistiken zeigen.

Gatekeeper profitieren

In der Praxis scheint die ATT das Problem damit vor allem verschoben zu haben. So könnten gerade größere Anbieter über Fingerprinting, also die Kombination aus anderen, eindeutigen Merkmalen des Smartphones, problemlos weiter Profile erstellen. Die ATT würde in dieser Hinsicht eigentlich nur die Macht von Gatekeepern wie Google stärken, resümieren die Forscher.

Ebenfalls als problematisch sieht die Studie einen anderen Umstand an: Apple nehme sich selbst von diesen Regeln weitgehend aus, kann also eifrig selbst Informationen sammeln. Dass Apple diese auch wirklich nutzt, um das eigene Werbegeschäft rund um den App Store auszubauen, hat dem Unternehmen in den vergangenen Monaten bereits viel Kritik eingebracht.

Aus den Augen ...

Gleichzeitig zeigt die Studie aber auch, dass es für Apple und andere Plattformhersteller fast unmöglich ist, Tracking wirklich vollständig zu verhindern. Immerhin hat man nur Einblick in jene Dinge, die am Smartphone passieren, weiß aber nicht, was mit den Daten danach geschieht.

Was das in der Praxis bedeutet, zeigt ein weiteres Beispiel. Die Forscher haben insgesamt neun iOS-Apps gefunden, die einfach auf der Serverseite einen eindeutigen Nutzeridentifikator erstellen, der dann zwischen all diesen Apps geteilt wird. Der Code tut also exakt das Gleiche wie das lokale Tracking zuvor, nur eben an anderer Stelle.

Pikant ist auch, wer dahintersteht, handelt es sich doch dabei um ein durchaus bekanntes Unternehmen. Eine Tochter des chinesischen IT-Giganten Alibaba soll auf diesem Weg Daten von iPhone-Nutzern sammeln: Das Unternehmen wollte sich laut "Ars Technica" zunächst nicht zu den Vorwürfen äußern. Gleichzeitig ist davon auszugehen, dass auch andere Apps ähnliche Wege beschreiten, dies aber besser verschleiern.

Zahlen

Ebenfalls ernüchternd sind jene Zahlen, die die Analyse jener 1.685 Apps, die sich die Forscher vorgenommen haben, liefert: Die Zahl der von den untersuchten Programmen genutzten Tracking-Bibliotheken habe sich durch die Einführung der ATT kaum geändert. Bei den "populärsten" Diensten, die die Forscher in dieser Kategorie einreihen, hat sich ebenfalls kaum etwas getan, hier sind weiterhin Apples eigenes SKAdNetwork, Googles Firebase Analytics und Google Crashlytics ganz vorne mit dabei.

Ein Viertel der untersuchten Apps behauptet dabei über die "Privacy Labels" von Apple, keinerlei Tracking zu betreiben. Das stellte sich bei wiederum 80 Prozent von diesen als falsch heraus. Im Schnitt wären bei Apps, die sagen, dass sie nicht tracken, 1,8 Tracking-Bibliotheken inkludiert gewesen, die die Daten an 2,5 Firmen geschickt haben, heißt es in der Studie.

Was ist Tracking?

Ein Teil des Problems liegt dabei wohl an der Definition des Begriffs "Tracking", viele Entwickler sehen die Nutzung von zur Analyse von Problemen verwendeten Diensten wie Crashlytics schlicht nicht in dieser Kategorie. Entsprechend weisen auch mehr als die Hälfte aller Apps, die Googles Dienste – aber auch Apples eigenes Werbe-SDK – integriert haben, diese nicht aus. (apo, 19.4.2022)