Safe Browsing-Funktion könnte gegen EU-Recht verstoßen
Update vom 16.10.2019
Apples Vorgehen, vom Nutzer besuchte Websiten zwecks Betrugsschutz mit Listen von Google und Tencent abzugleichen, könnte gegen europäisches Recht verstoßen. Darüber berichtet Fortune. Dabei geht es ausnahmensweise nicht um die Datenschutzgrundverordnung (DSGVO), sondern um ein älteres Gesetz aus dem Jahr 2002, die ePrivacy-Verordnung. Diese reguliert die Daten, die von einem Endgerät an Dritte verschickt werden. Sollten diese über das für die Funktionalität Nötige hinausgehen, muss der Nutzer nach seiner Zustimmung gefragt werden. Das Problem: Die Safe Browsing-Funktion ist in Safari standardmäßig aktiviert, der User wird also nicht explizit nach seiner Zustimmung gefragt.
Doch selbst wenn sich herausstellen sollte, dass Apple gegen die ePrivacy-Verordnung verstoßen hat, sind die drohenden Strafen moderat. Das Gesetz richtet den Strafenkatalog nicht, wie es in der DSGVO geregelt ist, prozentual am Umsatz des Unternehmens aus, sondern hat in jedem Land festgelegte Obergrenzen. Im UK beträgt diese Obergrenze umgerechnet 630.000 US-Dollar.
Ursprüngliche Meldung vom 15.10.2019
Safari warnt Nutzer vor betrügerischen Websites, in den Einstellungen von iOS findet sich das ab Werk eingestellte Feature unter den Safari-Einstellungen im Punkt “Privatsphäre und Sicherheit”. Bisher hatten iPhones und iPads Daten über besuchte Websites vor allem an Google Safe Browsing, wo die Adressen gegen die auf einer Schwarzen Liste gegengeprüft werden. Findet sich die Adresse auf der Liste, löst das die Warnung aus.
Laut Macrumors schickt Apple seit iOS 13 und womöglich schon seit iOS 12.2 Adressen aus Safari an die Server des chinesischen Unternehmens Tencent zu diesem Zweck. Zunächst ließ sich nicht mit Sicherheit sagen, dass auch außerhalb Chinas aktive Geräte Tencent zum Safe Browsing nutzen, der in den Einstellungen gegebene Bezug zu der Firma fand sich aber angeblich auch auf iPhones in den USA und UK. Apple verschweigt zwar den Einsatz von Tencent in der Funktion nicht, hat die Änderung bis dato aber nicht groß angekündigt. Kritiker wie der Cyber-Security-Experte Matthew Green warnen davor , dass sich die an Google und Tencent geschickten Informationen de-anonymisieren ließen.
Apple hat auf die Berichte nun mit einer Klarstellung reagiert, ein Apple-Sprecher lässt sich zitieren:
“Apple schützt die Privatsphäre der Benutzer und schützt Ihre Daten mit Safaris Betrugswarnung, einer Sicherheitsfunktion, die Websites, von denen bekannt ist, dass sie bösartig sind, markiert. Wenn die Funktion aktiviert ist, überprüft Safari die URL der Website anhand von Listen bekannter Websites und zeigt eine Warnung an, wenn die URL, die der Benutzer besucht, im Verdacht steht, betrügerisches Verhalten wie Phishing an. Um diese Aufgabe zu erfüllen, erhält Safari von Google eine Liste von Websites, von denen bekannt ist, dass sie bösartig sind, und für Geräte mit dem Regionalcode auf dem chinesischen Festland erhält Safari eine Liste von Tencent. Die tatsächliche URL der von Ihnen besuchten Website wird niemals an einen sicheren Browser-Anbieter weitergegeben und die Funktion kann deaktiviert werden.”