Forscher zeigen Fingerprinting-Angriff
Mit Demo: Smart-Banner können Region der Apple ID preisgeben
Sicherheitsforscher haben einen neuen Mechanismus zum Fingerprinting von iPhone- und iPad-Nutzern vorgestellt, der die von Apple bereitgestellten Smart-Banner zweckentfremdet, um mit Hilfe der am oberen Bildschirmrand eingeblendeten Verweise in den App Store die Region der auf dem Gerät angemeldeten Apple ID zu ermitteln.
Eine Information die als eindeutiges Merkmal von iPhone-Nutzern zum Aufbau eines digitalen Fingerabdrucks verwendet werden kann und zusammen mit anderen Kenndaten dazu genutzt werden kann Profile zu erstellen, die sich über mehrere Netzwerke und Applikationen hinweg zuordnen lassen.
Zudem lässt sich die Region der Apple ID im vorgestellten Fall auch dann noch in Erfahrung bringen wenn VPN-Tunnel und Proxy-Server eingesetzt werden.
Eingrenzung nach Ausschlussverfahren
Wie genau die Ermittlung der aktiven Region vonstatten geht hat der Sicherheitsforscher Konstantin Darutkin in diesem Blogeintrag zusammengefasst. Grob verkürzt, werden die von Apple mit iOS 6 eingeführten Smart-Banner nach dem Ausschlussverfahren eingesetzt.
Da die Smart-Banner nur auf Geräten angezeigt werden, wenn diese im App Store der auf dem Geräte angemeldeten Apple ID auch verfügbar sind, lässt sich mit einer schlauen Auswahl von Applikationen hier schnell eingrenzen welcher der 175 Länder-Regionen eine Apple ID zugeordnet ist.
So könnten Angreifer etwa ein Smart-Banner vorbereiten, das eine App bewirbt, die nur in Europa verfügbar ist. Wird dieses angezeigt, könnte man sich auf Westeuropa konzentrieren. Lädt das Banner hier ebenfalls versucht man es mit einer in, die nur nur in Frankreich und Deutschland erhältlich ist. Lädt auch dieses prüft man letztlich noch eine App die nur in Frankreich bzw. nur in Deutschland erhältlich ist und kennt nun die Region der Apple ID.
Die Forscher haben eine Demonstration des Fingerprinting-Angriffes und auch den zugrundeliegenden Quelltext ihres Codes veröffentlicht.
Außerdem nerven die Banner.
Die Demo funktioniert. Dauert aber ewig. Aber in der Realität ist das wohl egal.
Also wenn man die Demo laufen lässt, funktioniert das zwar. Aber es erfordert augenscheinlich ein etwas 10maliges Reload der Seite und zeigt oben immer App-Banner an – das ist das Gegenteil von unbemerkt.
Angesichts der Tatsache, dass kaum jemand seine IP-Adresse verschleiert und einem in der Folge Seiten wie whatismyip über die IP-Adresse nicht nur das Land, sondern auch den Ort mitteilt, in dem man sich befindet (was auch der Grund ist, warum Google bei der Suche nach „Pizza“ einem vorrangig Pizza-Lieferdienste in der eigenen Umgebung anzeigt), ist das doch eine umständliche, auffällige und unpräzise Methode – und von einem Fingerprint doch weit entfernt.
Laut Google bin ich oft in Frankfurt oder Berlin. Allerdings weit von diesen Städten entfernt.
Da bist du einer grossen Sache auf der Spur :)
Ist ein Google-Trick, damit du dich in Sicherheit geborgen fühlst. Aber eigentlich kennen sie schon deine Schuhgrösse ;)
Ist bei mir auch der Fall :)
Das ist doch nichts neues, dass Apple angefangen hat die Privatsphäre der Nutzer nur noch vor den Mitbewerbern zu schützen und jene jedoch selbst zu vermarkten.
Das stimmt zwar grundsätzlich und ist nicht akzeptabel. Aber mit dem beschriebenen Verhalten hat das nichts zu tun. Wenn man mit einer AppleID angemeldet ist, kennt Apple ohnehin das Land (das muss man nämlich angeben).
Die beschriebene Vorgehensweise erlaubt es dritten, einen Mechanismus auszunutzen, mit dem Apple bestimmt, ob ein solches Banner überhaupt angezeigt werden soll oder nicht, weil die App nicht im AppStore des eigenen Landes verfügbar ist. Das ist also kein Erkenntnisgewinn für Apple, sondern eben nur für Dritte, wenn die diese (umständliche und auffällige) Methode dafür missbrauchen.
Richtig, den werbetreibenden.
Klar könnte Apple heute schon diese Daten weitergeben. Oben sehen wir, dass diese Daten eben auch an dritte durchgereicht werden.
Bitte nochmal lesen. Es geht hier nicht um Werbetreibende, sondern um externe Angreifer. Und was ich geschrieben habe, stimmt für diese ebenso: Es gibt weitaus einfachere und weniger Verdacht erregende Methoden, mein Land (und mehr ja auch nicht) herauszufinden als der Reihe nach 10x mit Neuladen einer Seite über verschiedene App-Banner mein Land herauszufinden, wenn ich im Internet surfe. Aber nochmal – hier geht es überhaupt nicht um Werbetreibende in dem ganzen Artikel, und auch nicht um die Weitergabe an irgend jemanden durch Apple.
Es wäre mal schön, wenn die Standortlokalisierung für die Zweifaktorauthentifizierung mal wenigstens das richtige Bundesland anzeigen würde. Stattdessen wird die Codeanforderung immer in Frankfurt/M. angezeigt. Das ist sowas von weit weg von meinem wirklichen Standort, da können sie diese Info auch gleich ganz weglassen. Das hat jetzt nicht so richtig was mit dem Thema zu tun, soll aber zeigen, wie ungenau manche Angaben doch sind.
Nicht ganz. Am Schluss ist es nicht sicher ob Austria oder Germany. Wie im Urlaub wo alle glauben man wäre Deutscher, obwohl ein Österreicher schon etwas anders klingt.
Hahaha ja, und die Holländer als Schweizer gelten oder umgekehrt. Zuviele ch ch ch in der Aussprache.
Funktioniert bei mir nicht, kommt immer „Open in Safari App Without Private Mode“ auch wenn ich nicht im Private Mode bin.