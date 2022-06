Captchas könnten für iPhone-, iPad- und Mac-Nutzer bald der Vergangenheit angehören. Eine neue Technik soll die störenden Anti-Roboter-Tests im Web und in Apps erübrigen: iOS und iPadOS 16 sowie macOS 13 Ventura unterstützen dafür sogenannte „Private Access Tokens“, mit denen sich das verwendete Gerät und somit der Nutzer gegenüber dem Diensteanbieter als legitim ausweisen, wie Apple auf der Entwicklerkonferenz WWDC 2022 erläuterte. Das erfolge Datenschutz-konform und ohne Übermittlung persönlicher Daten, betonte der Hersteller.

Auch Google mit an Bord

Neben dem allgemeinen Störfaktor für Endnutzer stellen Captchas auch ein gravierendes Problem in Hinblick auf die Barrierefreiheit von Webseiten und Apps dar, erläuterte Apple. Sie können zudem ein Datenschutzrisiko sein, weil Captcha-Anbieter zur Absicherung teils auf Fingerprinting über die IP-Adresse setzen und zugleich die aufgerufene URL kennen, heißt es bei Apple. Die Private Access Tokens sollen es Diensteanbietern ermöglichen, dem anfragenden Client direkt zu vertrauen, ohne dafür zusätzliche Elemente wie Captchas einzusetzen. Zugleich sollen die verschiedenen Parteien keinen tieferen Einblick zu Surfverhalten oder Nutzer erhalten.

Die Private Access Tokens bauen auf dem Privacy-Pass-Protokoll auf, an dem auch andere Branchengrößen beteiligt sind, darunter Google. Es ist also zu vermuten, dass ähnliche Funktionalität in Android und weitere Betriebssysteme integriert wird.

Wie die Private Access Tokens in iOS 16 funktionieren

Die Tokens funktionieren Apples Beschreibung nach wie folgt: Öffnet ein iPhone-Nutzer eine Webseite, kann diese das neue Token anfragen. Das Gerät respektive Apple (mit einem „iCloud Attester“) bestätigen dann, dass es sich um einen echten (per Apple-ID angemeldeten) Nutzer mit einem echten Gerät handelt. Der Prüfer erhält dabei keinen Einblick in die abgefragte URL, betonte Apple, auch werde die Apple-ID nicht übermittelt. Der Attester fragt dann bei einer dritten unabhängigen Stelle an, dem sogenannten Issuer, der das Token signiert – ohne etwas über das Gerät zu wissen. Das iPhone kann das signierte Token schließlich an den Server respektive Dienst übermitteln. Zu den Issuern gehören große Content Delivery Networks wie Cloudflare.

Was Apple genau heranzieht, um die Legitimität von Nutzer respektive Apple-ID zu prüfen, bleibt vorerst offen. Vermutlich werden Gerätedaten und bestimmte Nutzungsmuster erfasst. Um Betrug bei Einkäufen in den eigenen Stores zu minimieren, nutzt Apple bereits einen „Gerätevertrauenswert“, der aus Informationen über die Gerätenutzung ermittelt wird, dabei fließt auch die „ungefähre Anzahl von Anrufen oder gesendeter und empfangener E-Mails“. Apple könne dabei aber keine Rückschlüsse auf die tatsächlichen Zahlen ziehen, betont das Unternehmen.

(lbe)