Ausgetrickst: Google umgeht Safaris Cookie Sperre

von

Veröffentlicht: 17.02.2012 16:35

Google steht schon seit Langem in der Kritik, die Privatsphäre und den Datenschutz nicht recht ernst zu nehmen. Das Wall Street Journal (WSJ) deckte nun eine weitere Aktion des Suchmaschinenriesen auf, die Googles Kritikern wieder Wasser auf die Mühlen geben wird. Das Unternehmen verwendete einen speziellen Code, um einen Sicherheitsmechanismus des Apple Browsers Safari zu umgehen. Safari speichert Cookies, welche eine Verfolgung der Surfgewohnheiten des Anwenders ermöglichen im Normalfall nicht ab - zumindest solange man die Standardeinstellungen nicht ändert. Der oben erwähnte Code fand sich in Werbeanzeigen, die von dem Google Unternehmen DoubleClick platziert wurden, auf vielen der 100 meist besuchten Websites.

Der eigentliche Entdecker von Googles Code war ein Forscher der Stanford Uiversity, Jonathan Mayer. Das WJS lies den Fund von einem eigenen Sachverständigen überprüfen, der daraufhin versuchte herauszufinden, welche Websites mit dem Code versehen wurden. Heraus kam hierbei, dass bei 22 der 100 meist besuchten Webseiten ein Cookie auf dem Testrechner hinterlegten, obwohl dies in den Safari-Einstellungen nicht erlaubt wurde. Der gleiche Test auf einem iPhone ergab sogar 23 Websites, die aufgrund des Codes in den Werbeanzeigen imstande waren die Blockierung zu umgehen. Interessanterweise gab Google, bis zu der Konfrontation durch das WSJ mit dem eigenen Verhalten, auf der Informationsseite des Unternehmens an, dass Nutzer von Safari vor der Verfolgung über Cookies von Google geschützt seien, da der Browser deren Installation nicht zulassen würde.

Wie schafft es nun Google die Blockierung seitens Safari zu umgehen? Seiten, welche mit Werbung von DoubleClick versorgt werden, können Werbebanner anzeigen, die einen zusätzlichen Code enthalten. Surft ein Safari Nutzer auf besagter Website, so macht der entdeckte Code Safari glauben, der User interagiere mit der Werbung durch das Ausfüllen eines Formulares. Besagtes Formular wird jedoch automatisch und für den User unsichtbar an Google gesendet. Hierdurch nutzt Google ein sogenanntes Loophole in Safari aus, das die Installation eines temporären Cookies erlaubt. Ab diesem Zeitpunkt ist es in vielen Fällen möglich das weitere Surfverhalten des Safari-Nutzers zu verfolgen. Apple ließ verlauten, man wolle sich dem Problem annehmen und es beseitigen.

Auch zwei weitere Werbeunternehmen (Vibrant Media und WPP's Media Innovation Group) nutzen eine vergleichbare Technik um den Schutz von Safari zu umgehen.

In einer Stellungnahme gab Google folgendes an:

The Journal mischaracterizes what happened and why. We used known Safari functionality to provide features that signed-in Google users had enabled. It's important to stress that these advertising cookies do not collect personal information.

Welche Seiten der top-100 von den modifizierten Werbeanzeigen betroffen waren, gibt die folgende Aufstellung des WSJ wieder.

Kategorien:
Featurebox,
Redaktionsnews

24 Kommentare

Weitimwald - 17.02.2012, 17:42
- Antworten
Also ein Problem ist das ja nicht gerade von dem da geschrieben wird. Google verstößt gegen kein Gesetz dabei und die Funktion wurde nicht vom Benutzer gesetzt, sondern von Apple. Wenn der Benutzer sagt, er will keine Speicherung von Cookies zulassen, dann sähe das anders aus, aber nur weil aus gewissen Konkurrenzdenken versucht wird, jemand anderen auszuschließen und dieser einen guten Weg findet diesen Ausschluss zu umgehen, mache ich mir da keine Sorgen.

Macbeatnik - 17.02.2012, 17:55
- Antworten
Wer also Wege findet sicherheitsmechanismen zu umgehen, darf das ruhig machen und eigenen nutzen daraus ziehen?
Ansonsten, ist halt google, datendieb bleibt halt datendieb und datendiebstahl ist ja zur zeit groß in Mode nicht nur bei google, die allerdings die schlimmsten dieses Packes sind.

iDesign - 17.02.2012, 18:02
- Antworten
Das Umgehen von Sperren ist in Deutschland strafbar.

Wäre zu hoffen, dass Apple diese Lücke schließt und sich mit Google einmal mehr auseinandersetzt. Auch die Datenschützer dürften sich wieder einmal freuen. Aber nun ja... passieren wird in der Sache wohl sowieso nicht viel.

Bierhefe - 17.02.2012, 18:05
- Antworten
Zitat von iDesign

Das Umgehen von Sperren ist in Deutschland strafbar. [...]

Wo steht das?

MaxTrax - 17.02.2012, 18:11
- Antworten
Ob Google das darf oder nicht ist doch völlig nebensächlich. Interessant ist aber mit welcher Aggressivität Google versucht Nutzer auszutricksen und ungewollten Datenaustausch betreibt.

Steve Wozniak - 17.02.2012, 18:15
- Antworten
Google weiß sowieso schon alles....Wer weiß was die für Mechanismen und Scripte haben.Google hat die besten Informatiker und Spezialisten überhaupt.Dafür geben sie auch viel Cash aus.

Balkenende - 17.02.2012, 18:31
- Antworten
Zitat von Bierhefe

Wo steht das?

202a StGB.

Streit gibt es in den Verfahren der Staatsanwaltschaft aber immer genau darüber, welche Sperre eine "besondere Sicherheit" ist, wobei da sehr viel drunter fällt.

Das Ausnutzen einer bekannten Lücke ist hingegen im Zweifel straffrei.

Bierhefe - 17.02.2012, 18:53
- Antworten
Stimmt schon, Balkenende... ich wollte aber genau den zitierten Satz erklärt bekommen. Dass das umgehen von Sperren strafbar ist, ist nämlich erst einmal Blödsinn.

Korrekterweise möchte ich das durch das Gegenbeispiel "Straßensperre" widerlegen.

Balkenende - 17.02.2012, 21:56
- Antworten
Das wäre aber bei Google Street View

Oder wie jetzt

computerschreck - 17.02.2012, 23:29
- Antworten
Ich bin sehr froh dass ich bereits vor geraumer Zeit meine hosts-Datei als Adblocker benutze. Verbindung zu Googles Werbeportalen (und natürlich auch anderen) hat mein Mac schon ewig nicht mehr aufgenommen

Wer interessiert ist, kann ja mal nach "Adblock Hosts File" googlen. Oh welche Ironie

Mac 2.2 - 18.02.2012, 12:06
- Antworten
Reicht es wenn ich über die Erweiterung "Ghostery" alles von Google blockiere? Habe mich zumindest bisher damit "sicher" gefühlt…

Paganethos - 18.02.2012, 13:04
- Antworten
Wie war das noch mal? Don`t be evil..

gaffer - 18.02.2012, 14:19
- Antworten
Zitat von Mac 2.2

Reicht es wenn ich über die Erweiterung "Ghostery" alles von Google blockiere? Habe mich zumindest bisher damit "sicher" gefühlt…

Ghostery ist nicht schlecht, kann aber nur bekannte Tracker blocken, das liegt in der Natur des Programms. Un die finden dauernd neue Gags. Ich glaube NoScript ist die bessere Lösung, ausserdem der Beitrag mit dem Anpassen der hosts Datei weiter oben hat was. Werde das mal checken

Mac 2.2 - 18.02.2012, 14:36
- Antworten
Ah! Danke für den Tip mit "NoScripts". Werde ich mir mal ansehen. Die host-Datei anzupassen ist mir aber irgendwie zu aufwendig^^.

gaffer - 18.02.2012, 15:06
- Antworten
Nehmen wir als Beispiel diese Seite: Fünf als tracking cookies eingestufte Kekse sind da. No Script hat 5 von 7 Scripten geblockt. Ich wollte eiunen screenshot einfügen, bin aber zu blond dazu.

Das heisst ich habe alles ausser Apfeltalk unterbunden. Das gefällt den Seitenbetreibern natürlich nicht, damit müsst ihr leben, hilft aber ungemein einen aufgeräumten Rechner zu haben.

2cahllie - 18.02.2012, 20:49
- Antworten
ich verwende seit ein paar Monaten auf all meinen Geräten bing..
habs am anfgang parallel genutzt und die Ergebnisse waren immer genauso gut, nur dass google viel viel mehr Müll gefunden hat..

Retrax - 18.02.2012, 21:00
- Antworten
Gibt es "NoScript" auch für Safari?

MacGerry - 19.02.2012, 10:27
- Antworten
Der Witz bei der Sache, es sind gerade die Unternehmen die schreiben wen es die User so machen.
Jetzt wissen wir wenigsten wo sie es gelernt haben^^