Apple unterbindet VPN-basierte Adblocker im App Store

[Martin Wendel]

Apple unterbindet VPN-basierte Adblocker im App Store

Lange Zeit war es unter iOS nicht möglich, Adblocker zu verwenden. Das hat sich mit iOS 9 geändert – zumindest für Safari. Denn die Adblocker im App Store funktionieren nur im Apple-Browser. Ausnahme bilden VPN-basierte Adblocker, die ein Zertifikat installieren und so Werbung in Safari aber auch Third-Party-Apps unterbinden können. Dem scheint Apple nun einen Riegel vorzuschieben. Wie 9to5Mac berichtet, bringt ein Entwickler solcher VPN-basierter Adblocker wie Adblock und Weblock keine Updates seiner Apps mehr durch die App-Store-Prüfung.
App-Store-Richtlinie 4.2


Apple argumentiert dies mit Punkt 4.2 der App-Store-Richtlinien. Darin heißt es u. a., dass Apps die APIs und Frameworks von iOS nur bestimmungsgemäß verwenden dürfen. 9to5Mac vermutet, dass Apple die Verwendung von VPN-Zertifikaten für einen Adblocker (nicht mehr) als bestimmungsgemäß ansieht. Die Kollegen haben bei Apple um eine Stellungnahme zu dieser Sache gebeten und die Auskunft erhalten, dass die betroffenen Apps nicht aufgrund einer neuen App-Store-Richtlinie abgelehnt wurden.
Stellungnahme von Apple zu VPN-Adblockern


"Wir haben nie Apps im App Store erlaubt, die dafür entwickelt wurden, die Leistung oder Funktionen anderer Apps zu beeinflussen", so Apple in der Stellungnahme. Außerdem werde man weitere Apps aus dem App Store entfernen, die Funktionen zum Unterbinden von Werbeanzeigen in Third-Party-Apps besitzen und sich "vielleicht in den App Store einschleichen konnten". "Wir haben Werbung immer als eine der Möglichkeiten unterstützt, mit denen Entwickler über ihre Apps Geld verdienen können", so Apple weiter.

Via 9to5Mac

 

[jochenhorst]

Welcher Adblocker ist denn auf dem iPhone empfehlenswert?

 

[10tacle]

Schade, wenn ich das mal vorher gewusst hätte. Unter Android gibt es nämlich AdAway und das funktioniert systemweit.

Unter iOS nutze ich seit Tag 1Blocker. Der kostenlose Modus reicht um die Werbung in Safari zu blocken.

 

[ottomane]

Verständlich. Einerseits ist es natürlich ärgerlich, wenn Apple hier Einschränkungen umsetzt. Aber es ist nachvollziehbar, dass man einer App nicht erlaubt, anderen App-Entwicklern die Geschäftsgrundlage zu entziehen.

 

[ullistein]

Adblocker wären nicht nötig, wenn die Werbedienstleister ihre Werbung nicht zum großen Teil maximal aufdringlich und störend platzieren würden. Manche Seiten sind deswegen kaum noch nutzbar. Gegen einzelne Bildchen mal hier und da habe ich ja gar nichts.

So tut es mir zwar um die Geschäftsgrundlage der Entwickler leid, aber belästigen lasse ich mich nicht.

 

[MichaNbg]

Ich würde es erweitern:
AdBlocker wären nicht nötig, wenn die Werbesysteme nicht auch regelmäßig malware verteilen würden.

 

[ottomane]

Werbung hat ohnehin das erträgliche Maß lange überschritten. Dass alleine Google damit Milliardenumsätze macht, lässt mich am Verstand der Menschheit zweifeln. Wo ist da eigentlich die korrespondiernde Wertschöpfung (ich weiß, provokante These)?

 

[smoe]

Werbung nervt, schon klar. Hier geht es aber auch um etwas anderes. Diese Werbeblocker die hintenrum Zertifikate installieren und VPN-Verbindungen einrichten ohne den User darüber aufzuklären was da eigentlich passiert sind einfach allesamt eine zweifelhafte Angelegenheit. Ich kann schon verstehen warum Apple sowas nicht möchte, schon allein in Sachen Privatsphäre und Datenschutz.

Werbeblocker in Safari halte ich für sinnvoll. Bei Apps habe ich aber meist die Wahl einfach ein paar Euro für eine werbefreie App zu zahlen. Problem gelöst.

 

[iDesign]

In der Tat hat die Werbung in einem erheblichen und unerträglichen Maße zugenommen. Gelegentlich besuche ich eine Internetseite mit ausgeschaltetem Werbeblocker und bin verwundert, wie umfangreich und teilweise wie störend die Werbung eingebunden wurde.

Auf mobilen Endgeräten erschweren manche Anzeigen nicht nur die Nutzung erheblich. Automatisch abspielende Videos verbrauchen auch ungewollt Datenvolumen, dass in Deutschland bekanntermaßen nicht gerade günstig ist.

Ich nutze Adguard. Einen kostenpflichtigen, russischen Werbeblocker und habe seinerzeit im Angebot lebenslange Lizenzen für verschiedene Endgeräte erworben. Ich bin sehr zufrieden.

 

[frostdiver]

Ich kann schon verstehen warum Apple sowas nicht möchte, schon allein in Sachen Privatsphäre und Datenschutz.

Allerdings nutzt Adblock, wenn ich es richtig verstanden habe, keinen VPN-Server, sondern filtert nur mit dem Profil bestimmte (von dir editierbare) Domains raus.
Ich sehe es aber auch so, dass Werbung in Apps noch kein wirkliches Problem auf iOS darstellt, da es immer werbefreie Alternativen bzw. die Möglichkeit gibt, sich "freizukaufen".

 

[Sauron]

Werbung ist ein Krebsgeschwür...

 

[MacMark]

Ich sehe VPN Ad Blocker als Sicherheitsrisiko und Einbruch in die Privatsphäre, weil sie eine Man In the Middle Attacke auf verschlüsselte Verbindungen machen.

 

[benn1]

Ich sehe VPN Ad Blocker als Sicherheitsrisiko und Einbruch in die Privatsphäre, weil sie eine Man In the Middle Attacke auf verschlüsselte Verbindungen machen.

Soforn wirklich mit Extern kommuniziert wird.
Der hier, macht das ganz schlau.

 

[Delphinultra]

@benn1
Also verbindet die app adguard pro mit dieser ip adresse 172.xxx ? Und diese ip adresse ist nicht zufällig deine?

Gilt es auch für adblock von futuremind?

Es könnte ja auch sein, dass diese ip adressen gar nicht echt sind und es ist nur ein Trick, damit mit blocken funktioniert und dies ohne Sicherheitsprobleme. Kann einer, mehr was dazu sagen? Wie läuft dieser Trick wirklich ab?

 

[marcozingel]

Solange das nicht auf dem Mac für Safari gilt...

 

[ottomane]

Ob das VPN lokal ist oder nicht, spielt keine Rolle. In jedem Fall ist es eine MITM-Attacke, denn auch bei lokalem VPN können sie den Traffic analysieren oder einfach über eine weitere Verbindung ausleiten.

Allerdings ist mir nicht ersichtlich, wie das mit HTTPS funktionieren soll, ohne dass eine Warnung erscheint.

 

[MacbookPro@Olli]

Ich sehe VPN Ad Blocker als Sicherheitsrisiko und Einbruch in die Privatsphäre, weil sie eine Man In the Middle Attacke auf verschlüsselte Verbindungen machen.

Hast du einen Beleg dafür, dass die Anbieter solcher Adblocker tatsächlich MITM durchführen? Und wie genau sollten diese MITM aussehen? Jede halbwegs sichere Verschlüsselung (bspw. https) ist doch dagegen abgesichert (sofern sauber implementiert).

@benn1Es könnte ja auch sein, dass diese ip adressen gar nicht echt sind und es ist nur ein Trick, damit mit blocken funktioniert und dies ohne Sicherheitsprobleme. Kann einer, mehr was dazu sagen? Wie läuft dieser Trick wirklich ab?

Pretty simple: Sämtlicher Netzwerkverkehr wird über das VPN unter der oben zu sehenden IP geleitet. Dieses VPN arbeitet mit einer Blockliste, die sämtliche Verbindungen zu den darin enthaltenen Adservern seitens des VPN blockiert. Der VPN-Betreiber kann die Liste jederzeit ohne App-Updates aktualisieren, der Nutzer weiß aber nie genau, was da gerade alles blockiert wird. Gleichzeitig hat man den Vorteil, dass die Werbung bereits frühzeitig blockiert wird und somit das Datenvolumen gar nicht erst belastet (und auch nicht die Bandbreite), da sie nie das Endgerät erreicht (anders als bei lokal arbeitenden Content-Blockern). Theoretisch hat man dadurch ein werbefreies, schnelleres mobiles Internet und spart auch noch Datenvolumen. Dafür kann der VPN-Betreiber deinen unverschlüsselten Traffic mitlesen und natürlich auch Logs erstellen. Man sollte einem VPN-Anbieter deshalb mindestens so sehr vertrauen können, wie dem eigenen Internetanbieter. Ob das bei solchen Adblock-Anbietern gegeben ist, wenn nicht einmal der Standort der VPN-Server bekannt ist, muss jeder für sich selbst entscheiden. Ebenso ist es möglich, dass das Internet durch das VPN tatsächlich langsamer wird, wenn der Betreiber keine ausreichenden Kapazitäten zur Verfügung stellt. Der Ping leidet jedenfalls immer unter einer solchen Verbindung. Mit einer schnellen WLAN-Verbindung wird man wahrscheinlich flotter ohne als mit einem solchen Blocker unterwegs sein, mobil könnte sich diese Methode aber schon lohnen.

Kurzum: Ein lokaler Blocker ist empfehlenswerter, wenn man nicht sowieso einen (der eigenen Meinung nach) vertrauenswürdigen VPN-Anbieter nutzt, der Adblocking nur als nettes Zusatzfeature anbietet (so wie Opera, PIA usw.).

Ob das VPN lokal ist oder nicht, spielt keine Rolle. In jedem Fall ist es eine MITM-Attacke, denn auch bei lokalem VPN können sie den Traffic analysieren oder einfach über eine weitere Verbindung ausleiten.

Allerdings ist mir nicht ersichtlich, wie das mit HTTPS funktionieren soll, ohne dass eine Warnung erscheint.

Einfach unverschlüsselten Traffic mitlesen ist doch keine Attacke, das kann dein Anbieter auch machen. Bei einer Attacke wird ein Sicherheitsmechanismus überwunden und dafür braucht man erst einmal unbekannte Sicherheitslücken, wenn man das unbemerkt tun will.

 

[ottomane]

Hast du einen Beleg dafür, dass die Anbieter solcher Adblocker tatsächlich MITM durchführen?

Solange das Gegenteil nicht bewiesen ist oder der Anbeiter vertrauenswürdig ist, gehe ich immer vom Worst Case aus. Früher hat man mich dafür ausgelacht. Seit Snowden lacht keiner mehr. Aber das ist etwas anders gelagert

 

[MacbookPro@Olli]

Solange das Gegenteil nicht bewiesen ist oder der Anbeiter vertrauenswürdig ist, gehe ich immer vom Worst Case aus. Früher hat man mich dafür ausgelacht. Seit Snowden lacht keiner mehr. Aber das ist etwas anders gelagert

Dann solltest du bei deinem Internetanbieter auch davon ausgehen (und bei jedem anderen Akteur, der deinen Traffic durchleitet). Und wie ich oben schon schrieb, ist es erst eine MITM-Attacke, wenn ein Sicherheitsmechanismus überwunden wird, dafür bräuchte der VPN-Betreiber erst einmal die entsprechenden Lücken + Skills.

 

[ottomane]

Dann solltest du bei deinem Internetanbieter auch davon ausgehen (und bei jedem anderen Akteur, der deinen Traffic durchleitet)

Natürlich. Und warum sollte ich einen weiteren potenziellen Abhörer auf mein System holen? Die Aussage enthält kein relevantes Argument.

Und wie ich oben schon schrieb, ist es erst eine MITM, wenn ein Sicherheitsmechanismus überwunden wird, dafür bräuchte der VPN-Betreiber erst einmal die entsprechenden Lücken + Skills.

Das gilt nur im Falle von HTTPS. Es gibt immer noch jede Menge Traffic, der unverschlüsselt ist. Nur dann kann ja das Blocken funktionieren. Man müsste auch mal die AGB der Anbieter lesen, was ich aber noch nicht getan habe.