Fingerprinting auf iPhones bis iOS 12.1

Benutzer eines iPhones lassen sich beim Surfen über mehrere Webseiten verfolgen, wie ein neuer Bericht zum Fingerprinting zeigt. Problem sind die Sensoren in den Geräten, die die Identifizierung ermöglichen.


Anzeige

Bruce Schneier hat es hier kurz aufgegriffen. Sicherheitsforscher haben ein Konzept vorgestellt, mit dem Sensoren von iPhones unter iOS zum Fingerprinting verwendet werden können.

Fingerprinting – der Hintergrund

Fingerprinting bezeichnet eine Technik, mit dem der Fingerabdruck eines Geräts oder eines Systems oder eines Benutzers bestimmt wird. Besucht man im Browser eine Website, stellt dieser Webbrowser der Website eine Reihe von Informationen zur Verfügung. Das umfasst auch den Namen und die Version des Browsers, die Bildschirmgröße, installierte Schriften usw. Diese Informationen können verwendet werden, um eine unverwechselbare Signatur oder einen Geräte-Fingerabdruck zu erzeugen.

Der Fingerabdruck ermöglicht die Verfolgung des Surfers, auch wenn dieser keine Cookies zulässt, über die besuchten Webseiten hinweg. Browser wie der aktuelle Firefox 67 versuchen zwar, genau das zu verhindern (siehe auch Firefox 67 und 60.7.0 ESR). Aber es gibt wohl verschiedene Ansätze, einen Fingerabdruck eines Geräts zu ermitteln.

Eine Übersicht, was Fingerprinting im Browser ist, findet sich übrigens in diesem englischsprachigen Artikel.

iOS gibt Sensordaten preis

In dem von britischen Sicherheitsforschern der Universität of Cambridge vorgestellten Konzept gelang es unter iOS die Sensoren von iPhones (Accelerometer –Beschleunigungssensor, Gyroscope, Magnetometer) zum Fingerprinting zu verwenden. Die Forscher haben das Ganze zu einem Prof of Concept entwickelt, mit dem folgendes möglich war:

  • Der Angriff kann von jeder Website, die Sie besuchen, oder jeder App, die Sie auf einem anfälligen Gerät verwenden, gestartet werden, ohne dass eine ausdrückliche Bestätigung oder Zustimmung von Ihnen erforderlich ist.
  • Der Angriff dauert weniger als eine Sekunde, um einen Fingerabdruck zu erzeugen.
  • Der Angriff kann einen weltweit eindeutigen Fingerabdruck für iOS-Geräte erzeugen.
  • Der Kalibrier-Fingerprint ändert sich auch nach einem Werksreset nicht.

Der Angriff bietet ein effektives Mittel, um iOS-Gerätenutzer zu verfolgen, während diese im Internet surfen und zwischen den Apps auf ihrem iPhone wechseln.

(Quelle: YouTube)

Auf der Webseite der Forscher wurde u.a. das obige Video mit einer Demo veröffentlicht. Das Ganze wurde am 21. Mai 2019 auf dem IEEE Symposium on Security and Privacy 2019 (IEEE S&P'19) vorgestellt. Inzwischen hat Apple die Schwachstelle in iOS 12.2 gepatcht. Details finden sich in diesem Artikel (PDF).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Fingerprinting auf iPhones bis iOS 12.1

  1. Andreas sagt:

    Gestern habe ich dieses Video auf YouTube gefunden:

    https://www.youtube.com/watch?v=rpkathCoSfI

    Wer direkt zum interessanten Teil springen möchte – vorspulen bis 1:13.

    Dort geht es um Fingerprinting bei Farb-Laserdruckern. Bei den Geräten mehrerer Hersteller wird ein fast unsichtbares Punktmuster auf die Seite gedruckt (wenn in Farbe gedruckt wird), in dem Hersteller, Modell, Seriennummer des Geräts u.a. codiert ist. Da sich diese Seriennummer oft mit einem Käufer verknüpfen lässt, ist es möglich einen irgendwo gefundenen Ausdruck einer Person zuzuordnen.

    Die Forscher, die das herausgefunden haben, haben auch eine Webseite aufgesetzt, um das Punktmuster in eingescannten Ausdrucken, die als PDF gespeichert wurden, zu verändern und unbrauchbar zu machen, wenn die PDF-Datei ausgedruckt wird.

    • Henry Barson sagt:

      Das ist doch ein asbachalter Hut mit Bart ;-)

      Das machten Sharp-MuFus schon von 15 bald 20 Jahren, fiel besonders dann auf, wenn die Entwickler immer fasst aufgebraucht waren, dann konnte man diese Markierung problemlos mit bloßem Auge erkennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.