iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Für Entwickler, Hacker und Tester

iPhone-Datenverkehr mitlesen: HTTP Catcher in Version 2.0

Artikel auf Mastodon teilen.
25 Kommentare 25

Entwickler und neugierige iPhone-Anwender haben „ab Werk“ erst mal keine Möglichkeit, den Datenverkehr, den aktiven Apps oder auch Apples iOS-Betriebssystem selbst auf dem iPhone verursachen, unkompliziert mitzulesen.

Nor Safari

DuckDuckGo: Woher kommen die Suchvorschläge

Tippt ihr etwa die Buchstabenkombination „nor“ in eure Safari-Adressleiste ein und habt die datensparsame Suchmaschine DuckDuckGo aktiv, dann könnt ihr euch wundern woher die Vorschläge „norma“ und „norisbank“ kommen, habt aber keine Möglichkeit einfach unter die Haube zu blicken und nachzusehen.

Doch es gibt Mittel und Wege hier nachzusehen. Neben der kürzlich aktualisierten Anwendung mitmproxy – ein Freeware-Download der auf eurem Rechner arbeitet und die Online-Kommunikation eures iPhones mitschneidet – bietet sich auf dem iPhone die beiden Apps Charles und HTTP Catcher an. Der HTTP Catcher ist jetzt in der generalüberholten Version 2.0 erhältlich.

Der Download installiert auf Wunsch ein VPN-Profil, das den gesamten Datenverkehr eures iPhone durch einen lokalen Proxy tunnelt.

Nor Safari Result

Da alle Online-Verbindungen mitgeschnitten werden, könnt ihr diese im Nachgang analysieren und so zum Beispiel herausfinden, dass die Safari-Eingabe „nor“ an die DuckDuckGo-Adresse https://duckduckgo.com/ac/?q=nor geschickt und hier mit einer JSON-Datei beantwortet wurde, die 10 Vorschläge zur Textvervollständigung mitbringt. Deren Inhalt sieht übrigens so aus:

["nor", ["norma", "norisbank", "norderney", "norwegian air", "norton", "nordsee", "norwegen", "nordkorea", "norma angebote", "nora tschirner"]]

Um auch den verschlüsselten HTTPS-Datenverkehr mitlesen zu können installiert der HTTP Catcher auf Wunsch ein eigenes Root-Zertifikat, das nach Apples iOS 12-Änderungen etwas umständlich aktiviert werden muss. Zum einen müsst ihr die Profil-Installation zulassen, zum anderen Einstellungen > Allgemein > Info > Zertifikats-Vertrauenseinstellungen besuchen und hier noch mal euer ganz spezifisches Vertrauen aussprechen.

Charles Mitmhttp Catcher 1

Tester-Grundausstattung und kein Hexenwerk

Root-Zertifikat, VPN, Daten mitschneiden… – Was für den Laien erst mal besorgniserregend klingt, gehört zum Alltag vieler Entwickler, Hobbyisten und technisch interessierter Anwender und ist die Grundlage jeder zweiten Verbraucher-Test-Sendung, in deren Verlauf Apps auf ein datenschutztechnisch bedenkliches Verhalten hin abgeklopft werden.

Hier sind meistens nämlich keine Ausnahme-Hacker am Werk, sondern langgediente Warentest-Mitarbeiter, die mal eben 10 Apps zum aktuellen Test-Thema starten, einen Proxy mitlaufen lassen und anschließend nachschauen, welche davon Nutzerdaten im Klartext und über unverschlüsselte Leitungen an ihre Haus-Server übermittelt hat.

Tests, die ihr mit HTTP Catcher auch in Eigenregie durchführen könnt.

Solltet ihr Charles schon besitzen, dann notiert euch noch kurz folgendes: HTTP Catcher schneidet mit installiertem Zertifikat alle HTTPS-Request mit und will nicht immer eine gesonderte Ausnahme-Bestätigung haben. Zudem gefällt die übersichtliche Darstellung von Kopfzeilen und Antworten, das einfache Umschreiben von Requests, die Blacklist und die Nur-Text-Darstellung der Server-Antworten, die in der neuen Version noch deutlich übersichtlicher ausfallen als bislang.

Im direkten Vergleich mit Charles kostet der HTTP Catcher übrigens weniger als die Hälfte. Während für Charles 9,99 Euro fällig werden, kostet die Vollversion des HTTP-Catcher 3,99 Euro, einmalig.

Laden im App Store
‎HTTP Catcher
‎HTTP Catcher
Entwickler: MESS LAB LTD
Preis: Kostenlos+
Laden
Laden im App Store
‎Charles Proxy
‎Charles Proxy
Entwickler: XK72 Limited
Preis: 9,99 €
Laden

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
27. Jan 2020 um 16:44 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    25 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Gibt es in diesem Zusammenhang Empfehlungen für Mail-Apps? „Spark“ speichert ja offenbar die Zugangsdaten auf den Anbieter-Servern

  • Akim Tvåle Kryb

    Und das alles läuft tatsächlich alles Lokal?
    Ist das nachgewiesen? ;-)
    Ich hätte da nämlich keine Lust einem online Dienst durch die Nutzung dessen App diesem mitzuteilen wo ich überall unterwegs bin damit diese auch schön meine Benutzerdaten usw. mitschneiden kann.

    • Nutze Adguardpro seit Jahren dafür. Volle Empfehlung!
      Und ja, die Ergebnisse sind erschreckend. Mit adguard kann ich aber den Zugriff auf einzelne Adressen leicht verbieten und bin damit wieder Herr meiner Daten. Für eine richtig gute Funktion müssen aber die vorhandenen Filter per Hand weiter optimiert werden., d.h. man muss die zu verbietenden Adressen per Klick sperren.

  • Ist schon echt erschreckend wie viel Google von unserem online Leben mitbekommt, obwohl ich Google als solches absichtlich NICHT verwende.
    Fast jede App erstellt im Hintergrund ohne mich darauf hinzuweisen oder gar um mein Einverständnis zu fragen Verbindungen zu googlesyndication.com, gstatic.com, um Fonts zu laden und und und..
    Fazit: selbst wenn ich mit irgend einem Unternehmen wie zb. Google nicht einverstanden bin, komme ich nicht drum herum. Auch Apple mit deren iPhones und Anwenderschutz hilft mir zumindest in dieser Richtung nichts.

    • ..und bitte sagt mir nicht ich solle offline versteckt im Wald leben. Es muss doch auch eine freie Entscheidungsmöglichkeit in der online Welt geben, so wie ich sonst im realen Leben auch entscheiden kann, ob ich diese Geschäft oder das andere betrete und was ich wem mitteilen möchte oder nicht. Sorry, ist meine Ansicht die ich nur mal kundtun wollt.

      • Akim Tvåle Kryb

        Sollte es geben. Bei einem Quasi-Monopol bedingt durch Bequemlichkeit der Webseitenbetreiber wird es aber nicht möglich sein. So lange diese auf Google Dienste setzen anstatt auf Alternativen, entkommt man Google denke ich mal tatsächlich leider nur, wenn man offline im Wald lebt. :-/

  • Die Kommunikation von Apps, die ihre Zertifikate „pinnen“, können damit nicht mitgeschnitten werden.

  • Seit dem letzten WhatsApp Update habe ich ständig den Geofencing Pfeil (der mit der outline), auch wenn ich gerade niemand meinen Live Standort teile – hat das noch jemand?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven