Werber tracken iPhone-Nutzer: Ganz neue Sicherheitsalbträume

BERLIN taz | Es war höchst bedenklich: Bis zum letzten Sommer konnten Entwickler mobiler Apps ungestraft eine Identifikationsnummer („Unique Device Identifier“, kurz UDID) bei iPhone und iPad erfassen, die sich weltweit eindeutig zuordnen ließ.

Das interessierte insbesondere Werbetreibende: Die konnten so die Aktivitäten einzelner User verfolgen, auch wenn diese einmal die Anwendung wechselten. Solange der gleiche Reklamedienstleister in den Apps verwendet wurde, war es potenziell möglich, dass Werber erfuhren, dass sich der Nutzer für Finanz-Apps ebenso interessierte wie für Actionspiele oder einen Schwangerschaftskalender.

Und auch die Autoren der Apps hatten so eine nahezu perfekte Trackingmöglichkeit, wie ihre Programme verwendet wurden – jeder individuelle Nutzer ließ sich wiedererkennen. Dieser wusste entweder nichts davon oder konnte sich nicht wehren: UDIDs waren und sind nicht löschbar.

Im letzten August wurde es Apple nach Kritik von Datenschützern dann zu viel: Das Unternehmen kündigte gegenüber seiner Entwicklergemeinde an, die Verwendung von UDIDs sehr bald zu verbieten. Danach vergingen noch einige Monate Gnadenfrist, bevor der Computerkonzern im Frühjahr damit begann, erste Anwendungen zurückzuweisen, die die Technik dennoch verwendeten.

Wo Odin identifiziert

Programmierern einiger werbefinanzierter Apps schmeckte das ebenso wenig wie diversen Anbietern mobiler Reklame. Sie fürchten, durch ein „schlechteres“ Nutzertracking gegebenenfalls Millionen von Dollar an Einnahmen zu verlieren.

Seit Bekanntgabe von Apples Absichten arbeiten mehrere Initiativen deshalb fieberhaft daran, die UDID zu ersetzen – mit Ideen, die nicht mehr von den Möglichkeiten abhängen, die das iPhone- und iPad-Betriebssystem offiziell lässt. Mittlerweile sind hier erste „Erfolge“ zu verzeichnen, die Privatsphärenaktivisten in den nächsten Monaten noch hellhörig werden lassen dürften.

Einer der Ansätze nennt sich „Open Device Identification Number“, kurz ODIN. Er versucht, eine eindeutige Identifikationsnummer aus der eingebauten Netzwerkhardware des Geräts zu erzeugen, der sogenannten MAC-Adresse. Eine zweite UDID-Alternative hört auf den Namen „OpenUDID“ und scheint besonders schlau gedacht: Sie benutzt die in iPad und iPhone eingebaute Copy & Paste-Funktion, um Daten abzuspeichern und unter Apps auszutauschen.

Die Idee dabei scheint zu sein, dass sich durch ODIN oder OpenUDID die bisher verwendete UDID nahtlos ersetzen lässt – UDID-Abfrage raus, Alternativtechnik rein.

Vom Regen in die Traufe

Für Nutzer könnten die Bemühungen bedeuten, dass sie vom Regen in die Traufe kommen. So muss bei ODIN unbedingt sichergestellt werden, dass sich die MAC-Adresse, aus der die neue Identifikationsnummer gebildet wird, nicht zurückrechnen lässt.

Sollte das doch der Fall sein, ergeben sich ganz neue Sicherheitsalbträume: Da die MAC-Adresse etwa weitergegeben wird, wenn man sich an einem freien WLAN-Hotspot anmeldet, ist sie durch Dritte noch leichter zu ermitteln als die UDID. Würde sich der kommerzielle Betreiber eines WLAN-Hotspot-Netzes etwa mit einem App-Werber zusammentun, könnten diese zusammen dann neben der App-Nutzung auch gleich noch die Web-Aktivitäten tracken.

Zudem lässt sich die Mac-Adresse standardmäßig weder löschen noch wechseln – wie die UDID ist sie also für Otto Normalnutzer auf immer und ewig eindeutig. OpenUDID, der „Copy & Paste“-Hack, erlaubt zumindest potenziell ein Opt-out, der Nutzer könnte die ID also löschen. Parallel ergibt sich aber die Gefahr des sogenannten Data Leakage. Dabei würden Apps untereinander die Identifikationsnummer austauschen, die es eigentlich nicht dürften.

Wie man die Sache also auch dreht und wendet: Nur Nachteile für die Nutzer. Die beste Lösung wäre vermutlich, App-Entwickler und Mobilwerber würden die datenschutzrechtlich höchst problematische Trackerei schlicht aufgeben. Doch das wollen sie natürlich nicht – bis die Datenschützer durchgreifen, wie sie es bereits bei Web-Cookies andenken, die man viel leichter los wird.

Und was sagen die Werbekunden? Die wissen oft nur am Rande, was ihre Partner da anstellen, berichtete kürzlich das Wall Street Journal, freuen sich aber natürlich über genauere Daten. Die zwischengeschalteten Mediaagenturen und Reklamedienstleister kümmern sich um UDID und Konsorten.