In Apps versteckte Datenschleudern: Apple verschärft die Regeln für SDKs
Viele Apps integrieren SDKs von Werbefirmen, Nutzer können dabei kaum abschätzen, wo ihre Daten landen. Das soll sich ändern. Auch API-Zugriff wird beschränkt.
(Bild: chainarong06/Shutterstock.com)
Apple geht schärfer gegen Werbe-SDKs vor, die in vielen iPhone-Apps stecken. Das Unternehmen hat Anbieter solcher SDKs aufgefordert, ein Datenschutz-Manifest anzulegen, das genau und detailliert über die Datensammelpraxis Aufschluss geben soll. Entwickler und App-Anbieter können diese Angaben künftig in der verbindlichen Datenschutzkennzeichnung ihrer Apps berücksichtigen. Nutzer sollen darüber schon vor dem Download einer App sehen, an welchen Daten diese interessiert ist.
SDKs mit windigem Datenschutz
Apple hat zudem eine Reihe von spezifischen SDKs identifiziert, die angeblich "erhebliche Auswirkungen" auf den Datenschutz des Nutzers haben. Für diese "Privacy-impacting SDKs" wird das Manifest künftig letztlich zur Pflicht: Ab Anfang 2024 dürfen nur noch Apps und App-Updates auf das iPhone, die über die Datensammelpraxis der integrierten SDKs anhand des Manifests detailliert Aufschluss geben. Zugleich müssen die SDKs eine Signatur integrieren, damit Entwickler die Integrität des Codes vor der Integration in die eigene App sicherstellen können. Die genaue Liste der "Privacy-impacting SDKs" will Apple zu einem späteren Zeitpunkt veröffentlichen.
Dritt-Code in Apps ist mehr als gängig und führte in der Vergangenheit immer wieder zu erheblichen Datenschutzverletzungen. Für Nutzer passiert das praktisch unsichtbar, ein Tracking ist nicht ersichtlich. Solche SDKs bieten kleinere Firmen und Analyseanbieter ebenso an wie die Werberiesen Facebook und Google. App-Entwickler sind eigentlich dafür verantwortlich, das Datensammelverhalten der integrierten SDKs offenzulegen. Einige SDKs würden etwa darauf setzen, dass der Entwickler das standardmäßig aktiv Tracking manuell abschaltet, wenn der Nutzer dazu keine Zustimmung gegeben hat, erläuterte Apple in einem an Entwickler gerichteten Vortrag über die Neuerungen. iOS 17 soll deshalb Verbindungen zu den im Manifest verzeichneten Tracking-Domains automatisch blockieren, wenn für das Tracking keine Einwilligung des Nutzers vorliegt.
Anti-Fingerprinting: API-Nutzung nur mit Begründung
Um Fingerprinting zu verhindern, fordert Apple für den Zugriff auf bestimmte Schnittstellen in seinem Betriebssystem künftig zudem eine Begründung des App-Anbieters ein. Das fange schon bei einfachen Dingen wie der Erfassung des freien Speicherplatzes an, teilte Apple mit. Die von solchen APIs gelieferten Daten dürften nur für "genehmigte Gründe" verwendet werden.
- Das "Pricacy Manifest" für SDKs und die Auswirkungen auf Entwickler sind auch Thema im Expertenforum von Mac & i Pro (Abo von Mac & i Pro erforderlich).
iOS 17 auf der WWDC 2023 (29 Bilder)
(lbe)
