Phone-Home von macOS Big Sur ist nur ein kleiner Aspekt

Ich habe gestern das Big Sur-Update auf meinem Mac installiert. Nur wenige Minuten später, ich selbst habe es nicht zu spüren bekommen, lese ich auf Twitter, dass das neue System bei jedem Start eines Programms eine Prüfsumme (eine Art eindeutiger Marker) des Programms an Apple übermittelt. Aufgefallen ist das, weil der Server, an den diese Daten geschickt werden, überlastet war und Nutzer über langsame Ladezeiten auf dem neuen System klagten.

Fügt man die natürlich anfallenden Protokolldaten und diesen besonderen Marker zu einem Datensetz zusammen, so ergibt sich folgendes Informationsspektrum, das bei jedem Programmstart an Apple übermittelt wird: (1) Datums- und (2) Zeitstempel, (3) Computername, (4) Internet Service Provider, (5) Ortsangaben und eben die (6) Prüfsumme des benutzten Programms. In anderen Worten:

Apple knows when you’re at home. When you’re at work. What apps you open there, and how often. They know when you open Premiere over at a friend’s house on their Wi-Fi, and they know when you open Tor Browser in a hotel on a trip to another city.

Your Computer Isn’t Yours, Jeffrey Paul

Das Problem, abgesehen davon, dass Daten übermittelt werden, ist, dass die Daten nicht nur an Apple, vor allem aber, dass sie nicht verschlüsselt übermittelt werden. Das ist aber bei weitem noch nicht alles, was es zu diesem Fund, der sich, wie man in Jeffrey Pauls wohl informativsten Beitrag zum Thema (Your Computer Isn’t Yours) lesen kann, sagen lässt.

Einige Keywords und -statements, die man dort findet:

  • Little Snitch greift bei macOS Big Sur nicht mehr so ganz, da macOS Big Sur Drittanbieterapplikationen nicht mehr so tief ins System eingreifen lässt als dass das Blockieren solcher Aktionen möglich wäre.
  • Apples neue Prozessoren „Apple Silicon“ eröffnen in Kombination mit einem System wie macOS Big Sur ein elementares Problem: „These machines are the first general purpose computers ever where you have to make an exclusive choice: you can have a fast and efficient machine, or you can have a private one.“ – Statements, die jemandem, der datenschutzfreundlich eingestellt ist, so gar nicht schmecken.

Oh no, Jeffrey Paul hat unter der Überschrift „Probably Unrelated“ noch ein paar Dinge hingeschrieben, die zwar bekannt sind, aber… oh, come on, wirklich… das vermiest einem den Tag aber ordentlich.

Apple has quietly backdoored the end-to-end cryptography of iMessage. […] iCloud Backup is not end to end encrypted: it encrypts your device backup to Apple keys. Every device with iCloud Backup enabled (it’s on by default) backs up the complete iMessage history to Apple, along with the device’s iMessage secret keys, each night when plugged in. Apple can decrypt and read this information without ever touching the device.

Aral Balkan, immer eine starke Stimme für Datenschutz und Privacy und einer, der Apple-Produkte quasi als letzte Bastion des Datenschutzes akzeptiert hat, kommentiert das alles mit einem für Personen, die auf Datenschutz nicht verzichten wollen, mit dieser bitteren Pille:

This is a privacy nightmare. At this point, I’m going to have to stop recommending Apple computers, etc., as the most convenient privacy-respecting alternatives for everyday folks. It’s starting to look like private-by-default Linux machines are emerging as the only alternative.

Aral Balkan, Twitter

💩.

Aktualisierung am 17.11.2020: Apple hat in einem Support-Dokument zu den Vorwürfen Stellung genommen. (Kapitel „Privacy protections“).

5 Kommentare

  1. Moin Moin, bin durch den HappyBuddha hier gelandet.

    So ganz so schlimm würde ich das nicht sehen. Gut, dass mit iMessage ist jetzt wirklich nicht so toll. Aber der Rest?
    Mal abgesehen davon, dass drin steht welches Entwicklerzertifikat benutzt wurde, sagt ja noch nicht aus, welche App das jetze genau war. Ok, wenn es nur ein oder zwei Apps gibt, dann lässt das Rückschlüsse zu, aber wieviele Apps aus dem AppStore hast Du installiert? Bin auf die Apple Apps habe ich keine aus dem AppStore.

    Ich finde es dahingegend viel schlimmer, wieviel Zeug die Menschen in WhatsApp und Facebook pumpen. Da sind ein paar App Aufrufe eher das geringere Problem.

    • …und man muss auch ergänzen, dass die App-Zertifikate nun anders behandeln wird – siehe auch meine Aktualisierung. Was aber WhatsApp und Facebook angeht, da bin ich ganz bei dir. Das ist eindeutig „viel schlimmer“.

  2. Deswegen setzt man zu Hause eine Hardware Firewall, die den ganzen unauthorisierten Verkehr ins Internet blockt, ein. Und unterwegs surft man nur via VPN über dieselbige Firewall. Problem solved.

    • Dein Wort in aller Nutzer und Nutzerinnen Ohr, aber schau dir mal an, wer es tatsächlich schafft, eine Firewall vernünftig (!) zu konfigurieren. Und VPN, oh my! Da scheitern ja wirklich alle dran, die sich nicht auskennen. – Also ja, „Problem solved“, wenn man sich auskennt. Beim Endnutzer sehe ich da großes Problempotential bzw. Fragen wie: „Warum funktioniert mein Fernseher nicht mehr?“ ;-)

Kommentare sind geschlossen.