Google und andere Werbeanbieter haben offenbar mit einem Trick die Datenschutzeinstellungen des Apple-Browsers Safari umgangen. Betroffen sind damit Millionen von Mac-, iPhone- und iPad-Nutzern, die das Programm regelmäßig nutzen.
Die Lücke, über die das Wall Street Journal berichtet, hatte der Informatiker Jonathan Mayer von der Stanford University aufgedeckt. Im Zentrum steht dabei der Tracking-Schutz "Do Not Track", der bei Safari standardmäßig aktiviert ist und der Cookies von Drittenanbietern ablehnt.
Dies soll verhindern, dass zum Beispiel Werbenetzwerke einem Internet-Nutzer beim Besuch einer Website eine solche Identifizierungsdatei unterschieben, die sein weiteres Surfverhalten protokolliert.
Versteckt in einem leeren Formular
Google, aber auch Werbefirmen wie Vibrant Media Inc., Media Innovation Group LLC und PointRoll, konnten aber offenbar dennoch ihre Cookies einschleusen. Im Falle des Suchgiganten versteckte sich Mayers Analyse zufolge ein unsichtbares leeres Formular in bestimmten Werbeanzeigen des Google-Netzwerks Doubleclick. Dieses suggerierte Safari, Nutzer hätten der Installation eines Cookies zugestimmt - woraufhin der Browser den Schnipsel zuließ.
Google hat die Tracking-Technik nach der Anfrage des Wall Street Journal deaktiviert und weist den Vorwurf des Spähversuchs von sich: Man habe "eine bekannte Funktionalität von Safari eingesetzt, um angemeldeten Google-Nutzern Features bereit zu stellen, die von ihnen zuvor aktiviert wurden", so Google-Sprecherin Rachel Whetstone. "Der Safari-Browser beinhaltete jedoch eine Funktionsweise, die daraufhin auch das Setzen anderer Google Werbe-Cookies im Browser zuließ. Damit haben wir nicht gerechnet."
Konkret geht es laut Google um die "+1"-Funktion des Netzwerks Google Plus. Weil Safari nicht automatisch erkenne, dass ein Nutzer bei Google eingeloggt sei, habe man eine temporäre Verbindung zwischen Safari-Browsern und Google-Servern hergestellt, um dies zu prüfen. Hierbei seien aber auch andere Werbe-Cookies zugelassen worden.
Das Unternehmen betont, dass der ursprüngliche Cookie keine persönlichen Informationen erfasst und innerhalb von 24 Stunden gelöscht wird. Die Löschfrist gilt allerdings nicht für den Doubleclick-Cookie, der mitgeladen wurde.*
Schadet Apple mit der Anti-Tracking-Funktion Google?
Apple hat angekündigt, die Lücke zu schließen, sieht sich aber ebenfalls Kritik ausgesetzt: Der renommierte Autor John Battelle wirft auf seinem Blog die Frage auf, ob der IT-Konzern wirklich aus Nutzerfreundlichkeit Cookies von Drittanbietern blockiert. "Vielleicht betrachtet Apple jeden iOS-Nutzer als Apple-Kunden, selbst wenn er das Web nutzt?", fragt er. So könnte die Anti-Tracking-Funktion der Versuch sein, den Konkurrenten den Werbezugang zu seinen Kunden zu verwehren - was wiederum negative Konsequenzen für Googles Geschäftsmodell zur Folge hätte.
Techcrunch-Kolumnist MG Siegler erwartet, dass der Google-Trick das angespannte Verhältnis zu Apple weiter belasten könnte. "Dies wird ohne Zweifel zu einer Eskalation des Firmenkrieges führen", schreibt er in seinem Blog. Apple und Google gelten als Erzrivalen im zukunftsträchtigen Smartphone- und Tablet-Segment.
Der Vorfall dürfte auch die Debatte um den Einsatz von Cookies weiter anfachen. Die Online-Werbeindustrie argumentiert, dass die Dateien notwendig seien: Nur durch sie könne der Erfolg von Werbebannern gemessen oder dafür gesorgt werden, dass Nutzer nicht ständig die gleichen Anzeigen zu sehen bekommen.
Chrome fehlt "Do Not Track"
Datenschützer kritisieren hingegen, dass die Werbenetzwerke inzwischen Cookies exzessiv zur Verfolgung von Online-Aktivitäten nutzten. Bislang werden die Nutzer nicht gefragt, wenn eine solche Datei installiert wird; eine neue EU-Datenschutzvorschrift verlangt allerdings, dass Nutzer künftig explizit zustimmen müssen, wenn ein Anbieter einen Tracking-Cookie installiert.
Die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der Europäischen Kommission, favorisiert zudem "Do Not Track"-Einstellungen in Browsern. Neben Apples Safari bieten unter anderem auch Microsofts Internet Explorer und Mozilla Firefox eine solche Schutzfunktion vor Cookies an.
Google hat seinen Browser Chrome bislang trotz Appellen von Datenschützern nicht mit einem solchen Cookie-Schutz ausgestattet. Jonathan Mayer hat aber ein entsprechendes Add-On programmiert, das im Chrome-Webstore erhältlich ist.
* Google bietet ein Plugin an, das den Doubleclick-Cookie dauerthaft deaktiviert.