Was gibt man eigentlich von sich preis, wenn man für 20$ Verdienst im Monat eine Marktforschungs-App installiert?

Ein Projekt das intern unter dem Namen "Atlas" lief, fällt Facebook gerade ordentlich auf die Füße. Wenn man die App einmal installierte, hat man sich dazu bereiterklärt das eigene Verhalten umfassend an Facebook weiterzugeben. Manchmal geschieht das mit der expliziten Einwilligung des Nutzers: So fordert einen die App zum Beispiel dazu auf, Bildschirmfotos von getätigten Amazon-Einkäufen zu machen. An anderer Stelle ist die App aber weniger transparent: Sie installiert nämlich ein so genanntes "VPN", ein Virtuelles Privates Netzwerk.

Diese Funktion leitet den gesamten Internetverkehr auf dem Gerät zu einem bestimmten Server und erst von da aus "normal" weiter. Ursprünglich gedacht war diese Funktionen für Firmen, die ihren Mitarbeitern auch von unterwegs Zugriff auf die gewohnte Infrastruktur geben wollten. Im Falle von Facebook hatte dieser Server aber eine andere Funktion: Er hat möglichst viele persönliche Daten der Anwender mitgeschrieben. Allerdings gibt es dabei (aus Sicht von Facebook) ein Problem: Verschlüsselter Internetverkehr lässt sich durch ein VPN nämlich nicht untersuchen.

Und weil im Internet die Verschlüsselung von Inhalten mehr und mehr zum Normalfall wird, hat Facebook zu einem schmutzigen Trick gegriffen. Weil Facebook als Unternehmen ausreichend groß ist, hat es auf iOS Geräten ein so genanntes "Zertifikat" installieren dürfen. Die technischen Details sind nicht ganz trivial, den vorgesehenen Nutzen hingegen kann man ganz gut erklären: Facebook kann dadurch auf iOS Geräten auch ohne den App-Store neue Apps installieren. Das ist praktisch um interne Anwendungen zu verteilen oder Dinge zu testen.

Allerdings gibt es da noch etwas, was so ein Zertifikat erlaubt: Die Verschlüsselung von Internetverkehr. In einer verschlüsselten Verbindung kann dann nur der Herausgeber des Zertifikats entschlüsseln, was er mit seinen Kunden bespricht. Und folgerichtig gibt jede Webseite auch ihre eigenen Zertifikate heraus. Wenn man jetzt aber,, wie im Fall von Facebook, ein so besonders vertrauenswürdiges Zertifikat auf dem Gerät installiert hat, kann über ein VPN eben jenes Zertifikat statt dem "echten" zum "Verschlüsseln" untergeschoben werden. Und so kann Facebook doch wieder mitlesen, was die VPN-Benutzer so treiben.

Diese Praxis hat Apple nun untersagt indem Sie das Zertifikat für ungültig erklärt haben. Und damit haben Sie für ordentlich Bewegung bei Facebook gesorgt: Plötzlich steht das Unternehmen mit unfassbar vielen Apps da, die sich nicht mehr starten lassen.