Zurück zum Blog
Datenschutz auf iOS·9 Min. Lesezeit

Was iOS App Tracking Transparency nicht stoppt – und wie man App-Tracking tatsächlich blockiert

Apples "Ask App Not to Track"-Hinweis ist eine gute Sache. Er bietet aber auch einen viel engeren Schutz, als die meisten Menschen annehmen.

Von Casper's Cloak Security Team

Kurzfassung: ATT blockiert einen einzigen spezifischen Bezeichner (den IDFA – Apples Werbe-ID). Apps, die das Tracking fortsetzen wollen, verzichten einfach auf den IDFA und verwenden einen von einem Dutzend anderer Bezeichner, die ATT nicht betrifft. Unabhängige Forschung hat gezeigt, dass viele Apps das Tracking per Fingerprinting fortsetzen, selbst nachdem Nutzer auf "Ask App Not to Track" getippt haben. Im Folgenden: Was ATT tatsächlich tut, was es nicht tut – und was die Lücke schließt.

Was App Tracking Transparency tatsächlich blockiert

ATT, eingeführt mit iOS 14.5 im April 2021, verlangt von Apps, einen Systemprompt anzuzeigen, bevor sie auf den IDFA (Identifier for Advertisers) des Geräts zugreifen dürfen – eine einzelne globale Zeichenkette, die Apple jedem Gerät zuweist. Wenn Sie auf "Ask App Not to Track" tippen, soll die App einen IDFA voller Nullen erhalten. Das war's. Das ist der gesamte Mechanismus.

Der enge Schutzbereich ist im Rahmen von Apples Konzept nachvollziehbar: ATT betrifft einen einzigen von Apple kontrollierten Bezeichner. Was ATT nie dazu gedacht war zu tun – und was die meisten Nutzer annehmen, dass es das tut – ist, Apps daran zu hindern, Ihr Verhalten auf anderem Weg zu verfolgen.

Wozu Apps nach ATT gewechselt sind

Als der IDFA abgeschaltet wurde, gab die Mobile-Werbeindustrie nicht auf. Sie wechselte die Methoden:

  • Geräte-Fingerprinting. Bildschirmauflösung, Modell, OS-Version, installierte Sprachen, Zeitzone, Beschleunigungssensor-Rauschprofile und ~30 weitere Signale werden zu einem Fingerabdruck kombiniert, der eindeutig genug ist, um Ihr Gerät appübergreifend wieder zu identifizieren. Der Fingerabdruck wird aus Daten erstellt, die Apple Apps frei lesen lässt.
  • Gehashte Nutzerbezeichner. Wenn Sie sich mit Ihrer E-Mail-Adresse bei einer kostenlosen App anmelden, hasht das SDK diese E-Mail und übermittelt den Hash an das Werbenetzwerk. Der Hash stimmt mit anderen Apps überein, die Ihre E-Mail-Adresse haben. ATT verhindert dies nicht – Sie haben beim Anmelden eingewilligt.
  • Gemeinsam genutzte SDKs als App-übergreifender Kleber. Facebooks SDK ist in ~30 % der mobilen Apps eingebettet. Wenn Sie eine dieser Apps verwenden, meldet das SDK Daten an Meta zurück – selbst wenn Sie kein Facebook-Konto haben. ATT fragt die Host-App ab, nicht die separaten Bezeichner des eingebetteten SDK.
  • CNAME-Verschleierung. Eine Website oder App erstellt einen DNS-Alias (analytics.bigsite.com → eigentlich hotjar.com), damit der Tracker wie ein Erstanbieter aussieht. ATT hat keine DNS-Schicht; Browser-Inhaltsblocker können die Alias-Kette nicht leicht auflösen.
  • SKAdNetwork-Attribution. Apples eigener ATT-freundlicher Ersatz – Apps melden Installations-Attributionsereignisse über von Apple aggregierte Kanäle. Weniger granular als IDFA, aber dennoch Attribution. Nicht ohne Bedeutung.

Das empirische Bild

Unabhängige Forscher haben wiederholt festgestellt, dass ATT in der Praxis einen Kanal blockiert und viele andere offen lässt: Viele Apps setzen nach der ATT-Ablehnung durch den Nutzer eine Form des Trackings fort, hauptsächlich per Fingerprinting und gemeinsam genutzten SDK-Bezeichnern.

Dies ist kein Argument dafür, dass ATT schlecht ist – es ist ein nützlicher, wenn auch enger Schutz. Es ist ein Argument dafür, dass ATT allein unzureichend ist, wenn Ihr Ziel lautet: "Apps sollen mich nicht verfolgen."

Was die Lücke tatsächlich schließt

Alle oben genannten Methoden teilen ein strukturelles Merkmal: Sie erfordern, dass das SDK einen Remote-Server erreicht. Der Fingerabdruck muss irgendwo hingeschickt werden. Die gehashte E-Mail muss nach Hause telefonieren. Das Facebook SDK muss seine Nutzlast an graph.facebook.com senden. CNAME-verschleierte Tracker lösen sich letztendlich noch immer in ein echtes Ziel auf.

Das bedeutet, dass ein Filter auf Netzwerkebene (DNS), der Verbindungen zu bekannten Tracker-Domains blockiert, all diese Methoden in einem einzigen Eingriff abfängt – unabhängig davon, welchen Bezeichner die App übermitteln wollte. Dies ist der Ansatz, den Pi-hole für Heimnetzwerke entwickelt hat, und was mobile Tools wie Casper's Cloak, NextDNS und AdGuard DNS für einzelne Geräte tun.

Der Mechanismus, vereinfacht:

  1. Das eingebettete SDK der App versucht, seinen Fingerabdruck / seine gehashte ID / sein Verhaltenssignal an seinen Server zu senden (z. B. graph.facebook.com, amplitude.com, mixpanel.com).
  2. Bevor diese Verbindung hergestellt werden kann, führt das Gerät eine DNS-Abfrage durch, um die IP des Servers zu finden.
  3. Das System-VPN-Profil sendet DNS-Abfragen durch einen filterenden Resolver.
  4. Der Resolver erkennt, dass der Hostname ein Tracker ist, und verweigert die Rückgabe einer IP.
  5. Die Verbindung wird nie hergestellt. Die Daten verlassen Ihr Smartphone nie.

Entscheidend ist, dass dies für jede App auf dem Gerät funktioniert – nicht nur für Safari. ATT ist auf der App-SDK-API-Schicht. Browser-Inhaltsblocker befinden sich auf der DOM-Schicht. DNS-Filterung ist auf der Netzwerkschicht, unterhalb von beiden, wo alle Apps zusammentreffen.

Was ATT gut macht – Anerkennung, wo sie gebührt

ATT ist tatsächlich für zwei Dinge wertvoll:

  • Es hat den Standard verändert. Vor ATT war der IDFA immer aktiv. Nach ATT entscheiden sich die meisten Nutzer bei der Aufforderung dagegen. Das ist eine echte Datenschutzveränderung auf Bevölkerungsebene, selbst bei Umgehungsmethoden.
  • Es hat Meta und andere dazu gebracht, die Tracking-Infrastruktur offenzulegen, die zuvor unsichtbar war. Die "App Privacy"-Labels im App Store, die Apps korrekt ausfüllen müssen, kamen als direkte Folge davon.

ATT war ein sinnvoller Eingriff. Er ist nur kein vollständiger – und Apple hat das auch nie behauptet.

Praktische Empfehlungen

  • Tippen Sie weiterhin auf "Ask App Not to Track". Der marginale Schutz ist die Sekunde Aufwand wert.
  • Betreiben Sie einen DNS-Filter neben ATT – Casper, NextDNS, AdGuard DNS oder ein selbst gehostetes Pi-hole. Das ist es, was die Methoden abfängt, die ATT nicht abdeckt.
  • Prüfen Sie die App Privacy-Labels von Apps, bevor Sie sie installieren. Wenn die Labels einer App "Daten, die mit Ihnen verknüpft sind – Bezeichner" für nicht wesentliche Zwecke anzeigen, suchen Sie nach einer Alternative.
  • Erkennen Sie, dass "kostenlose" Apps standardmäßig durch Tracking monetarisieren. Kostenpflichtige Alternativen haben oft eine deutlich andere Datenschutzhaltung, weil sie nicht darauf angewiesen sind.
  • Melden Sie sich nicht mit Apple/Google/Facebook an, wenn eine echte E-Mail-Adresse funktioniert. SSO verknüpft Bezeichner miteinander, die sonst isoliert bleiben würden.

Fazit

ATT ist ein nützliches, aber eng gefasstes Datenschutzmerkmal. Es blockiert einen einzigen von Apple kontrollierten Bezeichner. Apps, die das Tracking fortsetzen wollen, verwenden einfach andere Bezeichner. Wenn Ihr Ziel das Weitreichendere "Apps sollen mich nicht verfolgen" ist, ist ATT der Anfang, nicht das Ende – kombinieren Sie es mit einem Filter auf Netzwerkebene, der abfängt, wozu ATT nie konzipiert wurde.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

Blockieren Sie, was ATT verpasst

Casper's Cloak führt die oben beschriebene Filterung auf Netzwerkebene durch – für jede App auf iPhone, Mac und Android.