News

Anti Fingerprinting: Apple begründet Ablehnung von 15 Web-Standards in WebKit und Safari

Wie aus der Informations-Seite zur «intelligenten Tracking-Verhinderung» (ITP) in WebKit und Safari hervorgeht, will Apple einige Web-Standards nicht in die Browser-Engine implementieren, weil diese aus Datenschutz-Gründen möglicherweise problematisch sind. Die Schnittstellen könnten sogenanntes Fingerprinting ermöglich, also eine Identifizierung einzelner Nutzer oder Geräte.

Fingerprinting wird unter anderem ermöglicht durch das Messen von einzigartigen Konfigurationen – dazu gehören Informationen über die Ausrüstung des Gerätes selbst, über System-Einstellungen und -Eigenschaften des Gerätes und installierte Peripherie-Geräte sowie Surf-Daten des Nutzers, beispielsweise auf welchen Seiten der Nutzer angemeldet ist (Login Fingerprinting).

«Die erste Verteidigungslinie von WebKit gegen Fingerprinting besteht darin, keine Web-Funktionen zu implementieren, die potentiell Fingerprinting ermöglichen und gleichzeitig dem Nutzer keine sichere Möglichkeit bieten sich zu schützen», so das WebKit-Team von Apple. Es nennt in der Folge eine Liste von fünfzehn Web-API, die Apple nicht in WebKit/Safari integrieren wird, «teils» wegen der Möglichkeit für Fingerprinting:

Web Bluetooth

Die API erlaubt es Webseiten und Web-Apps, mit Bluetooth-LE-Geräten zu interagieren.

Web MIDI API

Zugriff auf MIDI-Geräte – beispielsweise Interfaces mit Hardware-MIDI-Ports und USB-Geräte, die die USB-MIDI-Spezifikation unterstützen.

Magnetometer API

Als Teil der zahlreichen Sensor-APIs, erlaubt diese den Zugriff auf die Informationen über das magnetische Feld durch den primären Magnetometer-Senor des Gerätes.

Web NFC API

Zugriff für Webseiten und Web-Apps auf die NFC-Schnittstelle des Gerätes.

Device Memory API

Möglichkeit die Grösse des Arbeitsspeichers des Gerätes auszulesen.

Network Information API

Diese Schnittstelle ermöglicht es Webseiten und Web-Apps auszulesen, mit was für einer Internet-Verbindung der Nutzer unterwegs ist (z.B. WLAN oder Mobilfunk etc.)

Battery Status API

Auslesen der aktuellen Akku-Restkapazität des Gerätes.

Ambient Light Sensor

Zugriff auf die Daten des Umgebungslicht-Sensors.

HDCP Policy Check extension for EME

Diese Schnittstelle erlaubt Webseiten und Web-Apps die Erkennung, ob eine spezifische HDCP-Policy durchgesetzt werden kann, sodass eine passende Quelldatei ausgespielt werden kann. HDCP ist ein Verschlüsselungssystem für Bildschirm-Anschlüsse zur geschützten Übertragung von Audio- und Video-Daten (z.B. Fernseh- oder Film-Übertragungen).

Proximity Sensor

Zugriff auf die Informationen des Näherungssensors des Gerätes.

WebHID

Erlaubt es Webseiten und Web-Apps mit «Human Interface Devices», kurz «HID», zu interagieren. HIDs sind beispielsweise Gamepads, aber auch Mäuse, Tastaturen und Touchscreens und deren spezielle Funktionen wie beispielsweise zusätzliche LED-Leuchten, Vibrations-Motoren etc.

Serial API

Kommunikation von Webseiten und Web-Apps mit seriellen Geräten wie beispielsweise Microcontroller oder 3D-Drucker.

Web USB

Zugriff für Webseiten und Web-Apps auf die per USB-Schnittstelle an das Gerät angeschlossene Peripherie.

Geolocation Sensor (background geolocation)

Erweiterte Möglichkeiten für den Zugriff auf Standortdaten auch im Hintergrund.

User Idle Detection

Erkennung, ob der Nutzer seine Aufmerksamkeit noch der aktuellen Anzeige auf dem Gerät schenkt oder ob es derzeit keine Interaktion mit der Anzeige gibt. Webseiten und Web-Apps erfahren dadurch beispielsweise, ob ein Bildschirmschoner aktiv wurde, der Bildschirm gesperrt wurde oder der Fokus des Nutzers derzeit bei einem anderen Bildschirm ist.

Das WebKit-Team merkt an, dass bei einigen dieser API in Zukunft Vorkehrungen gegen das Fingerprinting integriert werden könnten. Sollte dies geschehen, würde Apple eine mögliche Implementierung nochmals neu evaluieren.

Von Stefan Rechsteiner
Veröffentlicht am Donnerstag, 16. Juli 2020 um 15:20 Uhr