Zahlreiche iOS-Apps ignorieren Tracking-Verbot

iOS 15
Apples Tracking-Schutz suggeriert den Nutzern falsche Sicherheit. (IMAGO / NurPhoto)

Eigentlich können iPhone- und iPad- Nutzer in aktuellen iOS-Versionen selbst entscheiden, ob Apps ihre Aktivitäten über die App hinaus erfassen dürfen oder nicht. Viele populäre Programme halten sich aber offensichtlich nicht an die Vorgaben.

Das geht aus einer Recherche der Washington Post in Zusammenarbeit mit dem Datenschutzunternehmen Lockdown Privacy hervor, die das Trackingverhalten zehn häufig heruntergeladener Apps dokumentiert. Das Ergebnis: Das Tracking habe sich trotz der Einführung von Apples Anti-Tracking-Dienst ATT (App Tracking Transparency) kaum verändert. Ob Nutzer den Apps das übergreifende Datensammeln erlauben oder nicht, spiele kaum eine Rolle. In der Untersuchung erfassten die Programme beispielsweise weiterhin IP-Adressen und Geräteinformationen, mit denen sie Nutzer eindeutig identifizieren können. Unter den kritisierten Apps befanden sich populäre Programme wie das Spiel Subway Surfers und der Bewertungsdienst Yelp.

Tracking über Apps und Webseiten hinaus

Apple hatte seine App Tracking Transparenz Ende April mit iOS 14.5 eingeführt. Seitdem müssen Apps die Nutzerinnen und Nutzer initial um Erlaubnis fragen, wenn sie deren Daten oder Aktivitäten zu Werbezwecken erheben möchten – in der Regel geschieht dies, wenn die App zum ersten Mal auf dem Gerät startet.

Programme wie Subway Surfers ignorierten ein Verbot der Nutzer in der Prüfung jedoch größtenteils. So habe das Spiel auf iPhones mit iOS 14.8 und iOS 15 ohne Erlaubnis 29 spezifische Informationen zur Identifikation des Geräts an eine Werbefirma namens Chartboost geschickt. Darunter fanden sich Eigenschaften wie die Größe des freien Speicherplatzes, die eingestellte Lautstärke und der Ladezustand des Akkus.

Einzeln sind die Daten nicht allzu aussagekräftig; in Kombination miteinander ergeben sie aber ein Gesamtbild, mit dessen Hilfe Werbetreibende einzelne Geräte beziehungsweise Nutzer über verschiedene Apps und Internetseiten hinweg eindeutig identifizieren und verfolgen können. Die Nutzer haben keine Möglichkeit, dieses “fingerprinting” genannte Verhalten zu unterbinden. Von den untersuchten Apps sendeten außer Subway Surfers auch die Spiele Streamer Life! und Run Rich 3D solche Daten an Werbenetzwerke.

Eigentlich dient die Werbe-ID alias “IDFA” (Identifier for Advertisers) als eindeutiges Indentifizierungsmerkmal für Werbende auf iPhone und iPads. Jedem Gerät ist ein einmaliger IDFA-Code zugeteilt, wodurch die Nutzer auch App-übergreifend verfolgt werden können. Verweigert der Nutzer allerdings das Tracking, hat der App-Betreiber keinen Zugriff auf den IDFA. Somit suchten die Firmen nach Alternativen zur Nachverfolgung wie fingerprinting.

Einstellungen hatten kaum Einfluss

Lockdown Privacy bemängelte in der Untersuchung, dass fast alle Apps unkontrolliert Daten an fremde Firmen schickten, die auf Daten-Akkumulierung spezialisiert sind (sogenannte third-party trackers). Ob die Nutzer das Tracking erlaubt hatten oder nicht, habe keinen Einfluss auf die Anzahl der Datenweitergaben gehabt. Allein die Intervalle der Datenübermittlungen sei um 13 Prozent zurückgegangen.

Die App des Bewertungsdienstes Yelp beispielsweise kontaktierte mit Erlaubnis 42 solcher Werbefirmen; ohne Tracking-Genehmigung reduzierte sich die Anzahl nur auf 39. Darunter fanden sich in beiden Szenarien Branchengrößen wie Facebook, Comscore und Branch. Die US-amerikanische App-Version des Café-Betreibers Starbucks fragte gar nicht erst um Erlaubnis und schickte stets Daten an 21 Tracking-Dienste – darunter Google Analytics und Branch.

“Wenn es darum geht, Tracker von Drittanbietern zu stoppen, ist ATT ein Blindgänger. Noch schlimmer ist, dass die Möglichkeit, auf die Schaltfläche ‘Ask App Not To Track’ zu tippen, den Nutzern ein falsches Gefühl von Privatsphäre vermitteln kann”, kommentierte Johnny Lin, Mitbegründer von Lockdown und ehemaliger Apple iCloud-Ingenieur gegenüber der Washington Post.

Keine Einsicht

Eigentlich verbieten Apples Geschäftsbedingungen das Zuwiderhandeln gegen die Nutzerentscheidungen. Die Washington Post unterrichtete Apple daher über das missachtende Verhalten der Apps. Der Konzern versprach zwar, sich der Sache anzunehmen und bei den App-Herausgebern nachzuforschen, doch auch nach mehreren Wochen hatte sich nichts geändert.

Die Zeitung kontaktierte auch die App-Entwickler und involvierten Werbefirmen. Die Herausgeber von Subway Surfers antworteten lapidar: “Damit das Spiel ordnungsgemäß funktioniert, werden einige Daten an Werbenetzwerke weitergegeben”. Die restlichen Firmen antworteten entweder gar nicht oder gaben ähnlich unvollständige Stellungnahmen ab.

Nach Ansicht der Autoren liegt das Problem in Apples Definition des Tracking-Begriffs: Apple zähle darunter nur Daten, die von verschiedenen Unternehmen gesammelt wurden und zu Werbezwecken oder für den Verkauf an Datenbroker verknüpft werden. Daten für Analysen oder zur Betrugsprävention zu erheben und weiterzureichen, sei hingegen nicht verboten. Es reiche aus, öffentlich anzugeben, Informationen zu solchen Zwecken zu erheben.

Die entsprechenden Einstellungen zu ATT findet man auf iOS-Geräten unter “Datenschutz → Tracking”. Wie die Untersuchungsergebnisse zeigen, sollte man sich auf diesen Schutz aber definitiv nicht verlassen. (hcz)