Safari schickt Nutzerdaten zu Tencent

[Jan Gruber]

(Update) Safari schickt Nutzerdaten zu Tencent

Als wäre Apple aktuell nicht schon genug unter Feuer bezüglich China. Heute gibt es neue Meldungen über eine Zusammenarbeit mit Tencent. Demnach schickt Apple Nutzerdaten vom Mobile Safari zu Tencent.

Wie alle gängigen Browser warnt Safari Nutzer auch in Bezug auf "betrügerische Webseiten". Dafür nutzt Apple bereits seit längerem Google Safe Browsing. Kürzlich wurde offenbar auch Tencent Safe Browsing als Anbieter aufgenommen. Darüber informieren neuerdings die Datenschutzhinweise von Safari.

"Vor dem Öffnen einer Website sendet Safari möglicherweise Informationen zu dieser Website an Google Safe Browsing und Tencent Safe Browsing, um sicherzustellen, dass die Website legitim ist."
Tencent und Betrugswarnungen


Die Daten werden nur übermittelt, wenn die Option "Betrugswarnung" in den Einstellungen aktiviert ist – dies ist sie jedoch per Voreinstellung. Noch ist unklar, wann Apple die IP-Adressen an Tencent weitergibt. Die Nutzungsbedingungen sprechen von "Anbieter, die privates Surfen ermöglichen, können auch Deine IP-Adresse protokollieren". Ob damit nur die Funktion "Privates Surfen" gemeint ist, ist unklar.
Die Nähe zur chinesischen Regierung


Bedenklich wird die Kooperation mit Tencent vor allem durch die Nähe zur chinesischen Regierung. Tencent steht auch hinter dem Dienst WeChat und entwickelt für die kommunistische Partei "patriotische Spiele". Nicht nur die Daten chinesischer Nutzen werden an Tencent übermittelt. Da IP-Adressen zu den persönlichen Daten zählen, könnte dies noch die Ermittlungen diverser Datenschutzbehörden nach sich ziehen.
Update - Stellungnahme von Apple


Mittlerweile hat 9to5Mac eine inoffizielle Stellungnahme von Apple veröffentlicht. Dem zu Folge soll Apple keine Daten an Drittanbieter weiterleiten.

Apple schützt die Privatsphäre der Benutzer und schützt Ihre Daten mit "Safari Fraudulent Website Warning", einer Sicherheitsfunktion, die Websites, von denen bekannt ist, dass sie bösartig sind, markiert. Wenn die Funktion aktiviert ist, überprüft Safari die URL der Website anhand von Listen bekannter Websites und zeigt eine Warnung an, wenn die URL, die der Benutzer besucht, im Verdacht steht, betrügerisches Verhalten wie Phishing an. Um diese Aufgabe zu erfüllen, erhält Safari von Google eine Liste von Websites, von denen bekannt ist, dass sie bösartig sind, und für Geräte mit dem Regionalcode auf dem chinesischen Festland erhält Safari eine Liste von Tencent. Die tatsächliche URL einer Website, die Sie besuchen, wird niemals an einen sicheren Browser-Anbieter weitergegeben und die Funktion kann deaktiviert werden.​

Apple, China und Hongkong war heute auch unser Thema im Apfeltalk Editor's Podcast.

Via MacRumors und 9to5Mac

 

[ottomane]

Das mag man wichtig finden oder nicht. In jedem Fall ist das aber äußerst ungeschickt von Apple. Was ist da nur los?

 

[Macbeatnik]

Betrifft mich nicht, ich traue Google viel weniger als den Chinesen und hab die Betrugswarnung seit jeher ausgeschaltet.

 

[Jan Gruber]

Stellungnahme von Apple ergänzt

 

[ottomane]

Ok, scheint doch harmloser als zuerst gedacht.

 

[smoe]

Wobei ich da jetzt gerade massiv Fragezeichen über dem Kopf habe. Die beiden Aussagen widersprechen sich doch? Entweder werden Daten nun an den Anbieter übertragen oder nicht?

 

[Jan Gruber]

Tuen sie bedingt. Offenbar ist der IP Teil wirklich nur auf das private Surfen bezogen - und die IP geht nicht an Tencent sondern an die Seite. Soweit so bekannt. Heißt ja nur dass dein Rechner den Verlauf nicht Speicher. Nicht das die Seite nicht weiß wer kommt

 

[frostdiver]

Der Satz "Anbieter, die privates Surfen ermöglichen, können auch Deine IP-Adresse protokollieren." passt da gar nicht rein. Ergibt in diesem Zusammenhang keinen Sinn.

Allerdings würde er ebensowenig in den nächsten Absatz (privates Surfen) passen.
"Anbieter, die privates Surfen ermöglichen ..." Sollte da irgendwo noch ein VPN-Absatz hin?

 

[ottomane]

Jeder Seitenbetreiber hat Zugriff auf die IP und auf jeder Seite kann man den privaten Modus nutzen. Irgendwie verschlucke ich mich an den Aussagen.

 

[Jan Gruber]

Leider liegt das auch echt nicht nur an der Übersetzung, Das ist auch in englisch kaputt. Denn der Anbieter des privaten Surfens ist ja eigentlich Apple. Zusammengedampft heißt das eigentlich:

1) Tencent und Google schicken nur die Listen an das iPhone, das gleicht dass dann ab
2) Privates Surfen hat damit nichts zu tun. Das Gerät speichert da keine Daten aber die Webseiten kriegen die IP
3) Willste deine IP verschleiern brauchste wo ein VPN. Das bietet Apple nicht an und ist deshalb nicht in den Nutzungsbedingungen. Prüe gut ehe du dich bindest - denn dann liest das VPN mit wenn du dir sowas holst

 

[Marcel Bresink]

Leider liegt das auch echt nicht nur an der Übersetzung, Das ist auch in englisch kaputt. Denn der Anbieter des privaten Surfens ist ja eigentlich Apple.

Nein, es liegt nur an der Übersetzung. In Apples englischem Originaltext ist von "privatem Surfen" nirgendwo die Rede und die Funktion zum verlaufslosen Seitenabruf, die in der deutschen Fassung "privates Surfen" heißt, ist damit erst recht nicht gemeint.

Im Original heißt es bereits seit März 2019: "Safari may send information calculated from the website address to Google Safe Browsing and Tencent Safe Browsing to check if the website is fraudulent. These safe browsing providers may also log your IP address."

Also: "Safari sendet möglicherweise Daten, die aus den Adressen von Websites berechnet werden, an die Dienste Google Safe Browsing und Tencent Safe Browsing um Websites mit betrügerischem Inhalt zu identifizieren. Diese Dienstanbieter protokollieren möglicherweise deine IP-Adresse."

1) Tencent und Google schicken nur die Listen an das iPhone

Nein, das iPhone sendet einen Hashcode der Website-Adresse an den Sicherheits-Anbieter (es sendet nicht die URL!). Dort befinden sich in einer Datenbank Einträge betrügerischer Webseiten, die ebenso in Hashcodes umgewandelt sind. Wird eine Übereinstimmung gefunden, meldet der Anbieter, dass die gerade gewählte Adresse zu betrügerischen Inhalten führen kann. Da das iPhone aktiv Daten an Google oder Tencent sendet, bekommen die die IP-Adresse mit.

Willste deine IP verschleiern brauchste wo ein VPN.

Man braucht einen Anonymisierungs-Anbieter, der die Daten über einen Proxy-Server leitet. Die meisten dieser Anbieter treten verwirrenderweise unter dem Namen "VPN-Anbieter" auf, obwohl das mit VPN-Technik nur am Rande was zu tun hat. Die Aussage "man braucht ein VPN" ist also auch ziemlich irreführend.

 

[Jan Gruber]

Man braucht einen Anonymisierungs-Anbieter, der die Daten über einen Proxy-Server leitet. Die meisten dieser Anbieter treten verwirrenderweise unter dem Namen "VPN-Anbieter" auf, obwohl das mit VPN-Technik nur am Rande was zu tun hat. Die Aussage "man braucht ein VPN" ist also auch ziemlich irreführend.

Sie ist technisch nicht korrekt - aber das was in Realität läuft. Selbst wenn du nur einen Anonymisierungs-Anbieter wählst, der kein klassisches VPN anbietet - wie richtest du den auf dem iPhone ein und siehst das er läuft? Als VPN meiner Meinung nach

 

[smoe]

Mich würde mal interessieren was denn Daten „calculated from the website address“ sind? Weiß China nun welche Seiten aufgerufen wurden oder nicht?

 

[ottomane]

Auf den ersten Blick wissen die nichts über die URL, da man den Hash, sofern es richtig gemacht wurde, nicht rückwärts auflösen kann.

Auf den zweiten Blick könnten sie es anstellen, indem Sie von massenhaft URLs selbst Hashes anfertigen und deine Anfrage mit der Datenbank vergleichen -- also das selbe Verfahren anwenden wie für betrügerische URLs.

Aber werden nicht nur die Daten von Leuten in China an Tencent gesendet? Andererseits: Ist Google besser als die Chinesen? Und: Google hat praktischerweise einen ziemlich umfassenden Bestand aller URLs weltweit...