App-Test

App-Test: Mit Apples Safari ins Internet (iOS)

Ein Artikel von , veröffentlicht am 03.06.2016
Bild: CC0 Pixabay / geralt

Safari ist ein Webbrowser von Apple, der bereits zum Lieferumfang von iOS gehört. Unser Test zeigt: In der Standardeinstellung sendet der Browser sensible Informationen an Apple. Mit den richtigen Einstellungen lässt sich das aber unterbinden.

Version

8.0

Betriebssysteme

iOS

Links

Apple App Store (iOS)
Weblink

Ein Browser gehört zur Grundausstattung eines jeden Smartphones. Bei iOS liefert Apple Safari als Browser mit. Über die Jahre hat Apple kontinuierlich die Geschwindigkeit der Seitendarstellung optimiert und neue Funktionen integriert. Dazu zählt auch die Anbindung an die iCloud, über die sich zum Beispiel Passwörter, Lesezeichen und besuchte Webseiten zwischen den Geräten synchronisieren lassen. Doch diese Bequemlichkeit hat ihren Preis: Alle Informationen liegen bei Apple.

Anbieter der App ist die Firma Apple mit Hauptsitz in Cupertino, USA.

Unser Apple-Test

Eine Installation ist nicht notwendig, Safari ist ein fester Bestandteil von iOS. Direkt nach dem Start der App verbindet sie sich zu Apple - welche Daten Safari dann überträgt, variiert je nach den Einstellungen.

In einer allgemeinen Datenschutzerklärung informiert Apple über die Erhebung und den Umgang mit den Nutzerdaten. Ob das Prinzip der Datensparsamkeit eingehalten wird, hängt entscheidend von den Einstellungen in Safari ab, die der Nutzer getroffen hat.

Übermittelte Informationen im Überblick:

  • Geräte-Modell
  • iOS Version
  • Wenn Suchmaschinenvorschläge aktiviert:
    • Jede Eingabe in die Suchmaske wird an die Suchmaschine übermittelt
  • Wenn Spotlight-Vorschläge aktiviert:
    • Jede Eingabe in die Suchmaske wird an Apple übermittelt
    • Standort des Nutzers wird übermittelt, wenn Ortungsdienste aktiviert
    • Zeitzone und Region werden übermittelt
  • Wenn Safari in iCloud aktiviert:
    • Übermittlung von Passwörtern, Lesezeichen, Verlauf, Tabs und Leselisten an Apple

Unsere Testergebnisse im Detail

Getestet haben wir die Version 8.0, die bereits auf dem Gerät vorinstalliert ist. Dieser Test gilt nicht für andere Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen, und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Welche Daten sieht die App?

Im Gegensatz zu unseren anderen App-Rezensionen lässt sich diese Frage leider nicht beantworten. Da der Safari Browser ein fester Bestandteil von iOS ist, entscheidet letztendlich Apple, auf welche Daten die App zugreifen darf. Das Berechtigungsmodell von iOS greift nur für Apps, die zusätzlich auf dem Gerät installiert werden.

Wohin verbindet sich die App?

Apple: Unmittelbar nach dem Start nimmt die App Verbindung zu unterschiedlichen Adressen von Apple auf. Welche Informationen übermittelt werden, variiert je nach Einstellungen von Safari - zu finden unter „Einstellungen → Safari“. Im Folgenden haben wir eine Übersicht zusammengestellt, die sich auf die Standard-Einstellungen von Safari bezieht:

  • Immer: Bei jedem Start von Safari fragt die App über einen unverschlüsselten Kanal eine „Safari Cloud History“-Konfigurationsdatei bei Apple an. Über den Sinn und Zweck dieser Abfrage können wir leider keine Aussage treffen. Fakt ist: Die Datei wird über eine unverschlüsselte Verbindung übertragen und könnte folglich von einem Angreifer verändert werden.
  • Spotlight-Vorschläge aktiviert: Sobald der Nutzer Eingaben in der Suchmaske tätigt, wird jeder einzelne Buchstabe an Apple zur Auswertung übertragen - selbst dann, wenn die Suchanfrage gar nicht abgesendet wird. Durch die Vorschläge analysiert Apple die Daten des Nutzers, um ihm passende Inhalte darzustellen. Neben der Übertragung der Nutzereingaben wird das Geräte-Modell, die iOS Version und der Standort des Nutzers übertragen - außer dieser ist explizit unter Ortungsdienste deaktiviert. Für den Zeitraum von ca. 15 Minuten bekommt der Nutzer eine „X-Apple-UserGuid“ zugewiesen. Über diese Nummer ist eine Zuordnung aller Suchanfragen zu einem Nutzer möglich. Jegliche Kommunikation erfolgt über eine TLS-verschlüsselte Verbindung. Auf zusätzliche Sicherheit durch Certificate Pinning verzichtet Apple.
  • Safari in iCloud aktiviert: Safari sendet Passwörter, Lesezeichen, Verlauf, Tabs und Leselisten an die iCloud des Nutzers. Der Nutzer kann damit alle Daten zwischen seinen Apple-Geräten synchronisieren und den Safari-Browser auf seinen anderen Apple-Geräten auf den selben Stand bringen. Auf die iCloud hat im Normalfall nur der Nutzer Zugriff. Über die AGBs räumt sich Apple jedoch den Zugriff auf das Konto und die Inhalte ein, wenn „dies vernünftigerweise erforderlich oder angemessen ist oder wenn dies gesetzlich vorgeschrieben ist“.

Suchmaschine: Der Nutzer kann in den Einstellungen zwischen den Suchmaschinen Google, Yahoo, Bing und DuckDuckGo wählen. Ist die Funktion „Suchmaschinenvorschläge“ aktiviert, wird jede Eingabe des Nutzers an die Suchmaschine gesendet – auch dann, wenn die Suchabfrage gar nicht abgesendet wird. Ebenfalls übertragen wird das Geräte-Modell und die verwendete iOS Version.

Im Hintergrundtext Wie sicher sind Internetverbindungen von Apps erklären wir, was TLS und Certificate Pinning sind. Details zur Funktionsweise finden Sie im Beitrag TLS/SSL Fragen und Antworten.

Wie sicher speichert die App meine Daten?

Je nach Einstellungen speichert Safari die Kontoinformationen von besuchten Webseiten – meistens Benutzername und Passwort – lokal auf dem Gerät oder in der iCloud. Gleiches gilt für Kreditkarteninformationen. Alle Informationen werden verschlüsselt in Safaris Schlüsselverwaltung (lokal) oder im iCloud-Schlüsselbund (Keychain), dem integrierten Passwort-Manager bei iOS, abgelegt.

Wer nicht möchte, dass die Konto- und Kreditkarteninformationen von anderen innerhalb Safari einsehbar sind, der sollte die Code-Sperre für sein Gerät aktivieren. Andernfalls können diese Informationen über „Einstellungen → Safari → Passwörter & Autom. ausfüllen → Gesicherte Passwörter bzw. Gesicherte Kreditkarten“ von jedem eingesehen werden, der ein entsperrtes iPhone oder iPad in den Händen hält.

Wie Sie eine sichere Code-Sperre einrichten, erklären wir Schritt für Schritt im Beitrag Bildschirmsperre einrichten (iOS).

Was sagt die Datenschutzerklärung?

Innerhalb der "Einstellungen → Safari" befindet sich jeweils unter den Menüpunkten „SUCHEN“ und „DATENSCHUTZ & SICHERHEIT“ ein kleiner Link zu Informationen zum Datenschutz. Unter diesen Links informiert Apple den Nutzer darüber, wie sich die verschiedenen Einstellungen der Optionen auf den Datenschutz des Nutzers auswirkt.

Jeweils am Ende der Ansicht verweist Apple auf die allgemeine Datenschutzerklärung. Unter dem Menüpunkt „Unsere Datenschutzrichtlinie“ informiert Apple den Nutzer umfangreich über die Erfassung, Verwendung und Weitergabe der übermittelten Informationen.

Apple gibt dem Nutzer unter „Datenschutz verwalten“ auch Tipps zum „Schutz seiner Daten und Privatsphäre“. Im Abschnitt „Surfe spurlos im Internet“ wird nochmal der Safari Browser aufgegriffen. Die dort vorgeschlagenen Tipps und Maßnahmen sind zwar grundsätzlich richtig und verbessern die Privatsphäre gegenüber den Voreinstellungen. Sie reichen aber bei weitem nicht aus, um tatsächlich „spurlos im Internet“ zu surfen.

Was Datenschutz genau ist und wie eine Datenschutzerklärung aussehen muss, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?
Wie Sie Ihre Spuren besser verwischen können, erklären wir im Beitrag Anonym surfen mit Tor. Wie Sie das Tor-Netzwerk unter iOS nutzen können, erfahren Sie im Beitrag Tor auf iOS nutzen.

Werden nur notwendige Daten erhoben?

Wir beziehen uns bei der Beurteilung der Datensparsamkeit lediglich auf die von uns getestete App Safari und bewerten nicht die allgemeine Datenschutzerklärung von Apple bzw. seiner Produkte.

Mit den Standard-Einstellungen des Browsers wird das Prinzip der Datensparsamkeit nicht eingehalten. Besonders bedenklich sind aus unserer Sicht die „Spotlight-Vorschläge“, da jede Eingabe in die Suchmaske an Apple zur Auswertung und Analyse übermittelt wird.

Wer in Safari ein paar Änderungen vornimmt, kann die Datenübermittelung an Apple zumindest reduzieren. Ausgehend von den Standard-Einstellungen sind folgende Häkchen in Safari unter „Einstellungen → Safari“ zu setzen:

SUCHEN

  • Suchmaschinenvorschläge: Aus (Standard An)
  • Spotlight-Vorschläge: Aus (Standard Aus)
  • Toptreffer vorab laden: Aus (Standard An)

DATENSCHUTZ & SICHERHEIT

  • Kein Tracking: An (Standard Aus). Über dieses Verbot können sich Webseiten allerdings hinwegsetzen
  • Cookies blockieren: Von besuchten Websites erlauben

Des Weiteren muss die iCloud-Synchronisation von Safari über „Einstellungen → iCloud“ deaktiviert werden:

  • Safari: Aus (Standard An)
Wie Sie die Einstellungen im Browser vornehmen, und welche weiteren Einstellungen wir noch empfehlen, erfahren Sie in der Schritt-für-Schritt-Anleitung Datenschutz bei Safari einstellen.

 

Weitere Artikel

Start mit Android 

App-Stores für Android: Sie haben die Wahl

Beim Android-Betriebssystem können Nutzer ihre Apps aus unterschiedlichen Quellen beziehen. Meist ist der Play-Store von Google die erste Wahl. Es gibt aber lohnenswerte Alternativen. Das Risiko ist überschaubar – wenn man ein paar Regeln beachtet. Wir stellen die wichtigsten Angebote vor.

Mehr
App-Test 

Blue Mail-App im Test: Nicht empfehlenswert

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Mehr
Ratgeber 

App-Store Aptoide: Alternative mit Fallstricken

Aptoide ist nach eigenen Angaben der größte Marktplatz für Android-Apps nach Google Play. Vielen gilt er als Sammelbecken für Raubkopien und Schadsoftware, anderen als einzige Rettung vor Google. Wie sieht es in Aptoide wirklich aus? Wir haben den Store für Sie erkundet.

Mehr
App-Test 

Runtastic: Lieblingssport Datenschleudern

Mit der Lauf-App Runtastic können Läufer tracken, wie es so läuft –  allerdings auf Kosten ihrer Privatsphäre. Die App sammelt allerlei Daten und schickt sie an externe Dienstleister. Dazu kommt: Die Datenschutzerklärung ist weder transparent noch vollständig.

Mehr