Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimApple-Entwickler unterliegen neuen API-Anforderungen, um die Fingerabdrücke von Benutzern zu eliminieren
iOS 17 befindet sich derzeit in der Betaphase und wird voraussichtlich in etwa einem Monat der Öffentlichkeit zugänglich gemacht. Wenn dies der Fall ist, werden Apple-Entwickler neue Einschränkungen für die Verwendung bestimmter APIs prüfen. Bei den fraglichen APIs handelt es sich um solche, die möglicherweise für die Fingerabdruckerkennung von Benutzern missbraucht werden können, eine häufige Umgehung der Datenschutzbestimmungen von Apple, die die Datenerfassung für gezielte Werbung regeln.
Die neuen Regeln gelten auch für die neuen Versionen von tvOS, visionOS, watchOS und das kommende Betriebssystem Mac Sonoma. Apple-Entwickler, die bestimmte APIs verwenden möchten, müssen eine Erklärung abgeben, warum sie für die Programmfunktion erforderlich sind, und Apps darauf beschränken, sie nur für diese deklarierte Funktion zu verwenden.
Apples „App Tracking Transparency“ (ATT)-Programm wurde mit der Veröffentlichung von iOS 14.5 Mitte 2021 vollständig eingeführt und verlangt von Entwicklern, dass sie jegliche Sammlung personenbezogener Daten für gezielte Werbung offenlegen und bei der Installation oder Aktualisierung der App die Zustimmung des Benutzers einholen. Wenn Benutzer nicht zustimmen, erhalten App-Entwickler keinen Zugriff auf die eindeutige Geräte-ID, die personalisierte Werbung ermöglicht. Dies hatte unmittelbare und dramatische Auswirkungen auf die Werbeeinnahmen, und einige der weniger gewissenhaften Apple-Entwickler wechselten als Alternative zum Fingerabdruck von Benutzern (obwohl dies nach den ATT-Regeln ebenfalls illegal war).
Obwohl die Erfassung von Fingerabdrücken von Benutzern nicht erlaubt ist (und Apple-Entwicklern im Falle der Erfassung ein Verbot droht), wird sie dennoch häufig verwendet, da sie sehr schwer zu erkennen sein kann. Apple versucht mit seinen neuen Anforderungen, das Problem auf API-Ebene anzugehen. Entwickler müssen die Notwendigkeit der Verwendung bestimmter API-Kategorien wie aktive Tastatur, Speicherplatz, Dateizeitstempel, Systemstart und Benutzerstandards erläutern. All dies wird üblicherweise verwendet, um eindeutige Gerätesignale zu sammeln, die in einem Profil organisiert werden können, das einzelne Benutzer über verschiedene Websites und Apps hinweg verfolgt.
Apple-Entwickler haben eine Nachfrist von etwa sechs Monaten, um ihre Gründe für die Verwendung einer dieser APIs im Datenschutzmanifest der App anzugeben. Ab Herbst werden Erinnerungs-E-Mails an Entwickler verschickt, wenn eine App ohne erforderliche Begründung für die betroffenen APIs hochgeladen wird oder wenn der Datenschutzmanifestdatei keine Beschreibung hinzugefügt wird. Die neuen Regeln treten ab Frühjahr 2024 in Kraft und können bei Verstößen dazu führen, dass Apps abgelehnt oder aus dem App Store entfernt werden.
Apple hat außerdem darauf hingewiesen, dass die Fingerabdrücke von Benutzern nicht legal werden, wenn Benutzer sich für die Anzeigenverfolgung einer App entscheiden. Jedes Konto, das zu irgendeinem Zeitpunkt auf einem Apple-Gerät Fingerabdrücke erfasst, ist gefährdet.
Obwohl die Änderung nicht garantiert, dass Apple-Entwickler die Implementierung von Benutzer-Fingerabdrücken einstellen, stellt sie dem App Store zumindest ein weiteres dringend benötigtes Durchsetzungstool zur Verfügung.
Angesichts der möglichen Zerstörung ihrer Werbeeinnahmenmodelle durch die ATT-Opt-in-Regeln entschieden sich einige Apple-Entwickler dafür, heimlichere Formen der Benutzer-Fingerabdrücke zu testen. Eine der primären Methoden besteht darin, Fingerabdruckmethoden in SDKs zu vergraben, die von Server zu Server kommunizieren, sodass ihre Aktivitäten in blinden Flecken bleiben, die Apple nicht einsehen kann. Ein Untersuchungsbericht der Washington Post Ende 2021 identifizierte eine Reihe beliebter Apps, die offenbar Fingerabdrücke von Benutzern verwendeten, basierend auf den großen Datenmengen, mit denen sie „nach Hause telefonierten“, und einigen der spezifischen Datenpunkte, die identifiziert werden konnten. Der Bericht stellte außerdem fest, dass Apple häufig nicht auf externe Sicherheitsforscher reagierte, die Bedenken hinsichtlich der von einigen Apps weitergegebenen Daten äußerten.
Es gibt bereits Bedenken, wie realisierbar diese neue Praxis sein wird, da sie darauf angewiesen ist, dass Apple-Entwickler selbst genau angeben, wofür die API verwendet wird. Dies muss durch polizeiliche Nachkontrollen überprüft werden und es liegen noch keine Einzelheiten darüber vor, wie damit umgegangen wird. Eine der Hauptschwächen des Systems zur Durchsetzung der Fingerabdrücke von Nutzern war bisher die mangelnde Fähigkeit, mit der schieren Menge an Parteien Schritt zu halten, die gegen die Regeln verstoßen.
Apple-Entwickler ihrerseits haben berechtigte Bedenken, dass die neuen Regeln die Ablehnungsrate ansonsten harmloser Apps erhöhen werden. Die demnächst geschützte „User Defaults“-API wird sehr häufig von Apps zum Speichern von Benutzereinstellungen verwendet, und einige Entwickler befürchten, dass sie zu einer Quelle ungerechtfertigter Ablehnungen wird, da Apple wahrscheinlich einen automatisierten Überprüfungsprozess implementiert, um die Einhaltung zu überprüfen . Apple hat jedoch angekündigt, dass es ein Berufungsverfahren geben wird und dass Entwickler Anträge auf eine unabhängige Überprüfung von Situationen stellen können, bei denen es sich möglicherweise um Fehler handelt oder die nicht ganz den neuen Richtlinien entsprechen.