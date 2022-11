Einem neuen Research-Bericht eines Sicherheitsdienstleisters zufolge lässt sich Apples Pseudo-VPN-Dienst iCloud Private Relay für Werbebetrug nutzen. Angeblich gibt es hier ein geschätztes Missbrauchspotenzial von 65 Millionen US-Dollar allein für das Jahr 2022, so das Unternehmen Pixalate in einem neuen Paper. Angreifer nutzten Private Relay als eine Art Schutzschild vor Entdeckung.

Verbindung soll IP verschleiern

Der Service ist Teil von Apples iCloud+-Angebot und erlaubt es, Serveranfragen über zwei Zwischenschritte umzuleiten, um die ausgehende IP-Adresse zu verschleiern. Apple selbst kann dabei laut eigenen Angaben nicht mitlesen, wohin ein Nutzer surft. Private Relay ist Teil von iOS, iPadOS und macOS und könnte künftig sogar zum Standard auf Apple-Geräten werden. Es ist Teil von Apples Privacy-Initiative, die auch Trackingschutzmaßnahmen im Browser Safari umfasst sowie Apple-Mail-Nutzer vor Überwachung bewahren soll.

Laut Pixalate bietet Private Relay jedoch auch eine Angriffsfläche für sogenannten Click Fraud. Dabei werden bezahlte Werbeanzeigen vielfach von Robotern angeklickt. Das bringt entweder dem Publisher, auf dessen Website die Reklame läuft, zusätzliches (unverdientes) Geld – oder Angreifer versuchen darüber, einem Unternehmen zu schaden, das so unnütze Reklameeinblendungen bezahlen muss, die kein echter Nutzer sieht. Der so entstehende Schaden soll in die Milliarden gehen. Firmen versuchen daher, Klickbetrug möglichst frühzeitig zu erkennen.

Vertrauen in Apple ist gut...

iCloud Private Relay gilt nun aber als besonders vertrauenswürdiger Dienst: Nutzer, die über den Service kommen, benötigen stets einen verifizierten iCloud+-Zugang, was sie als "echte User" identifizieren soll. Deshalb stehen Apples IPs für Private Relay auf manchen Whitelists, werden also standardmäßig von Click-Fraud-Prevention-Systemen durchgelassen. Genau das sollen sich Betrüger nun zunutze machen. Dies geht soweit, dass die IP-Adressen im Rahmen automatisierter Bietprozesse (Programmatic Advertising) verwendet werden.

"Nach den Beobachtungen von Pixalate scheint eine gängige Methode zur Ausnutzung von iCloud Private Relay das betrügerische Einfügen von [solchen] IPv6- und IPv4-Adressen in Angebotsanfragen für digitale Werbung zu sein." Pixalate hat diese Methode des Anzeigenbetrugs "iP64" getauft. Das Ergebnis sei, dass die Anti-Klickbetrug-Systeme dieses Geboten "blind vertrauen". Angreifer könnten große Teile des Private-Relay-Verkehrs betrügerisch nutzen, glauben sie. Im August habe man eine enorm hohe Spoofing-Rate entdeckt.

(bsc)