iPhone Tracking debacle - rischi e contromisure

Il problema di sicurezza più ovvio e diffuso è che chiunque abbia accesso a una macchina che esegue il backup dell'iPhone può guardare dove si trova il telefono. Questo può essere un vantaggio dal punto di vista di un proprietario di iPhone che desidera tenere traccia dei propri figli o meno dalla prospettiva di un amante imbroglione.

Ovviamente è anche un modo per le forze dell'ordine per ottenere un sacco di dati su dove sono state le persone, si spera solo dopo appropriate approvazioni. O alternativamente, per loro per tenere traccia degli attivisti, come sottolinea Thomas.

Sono sicuro che alcuni iPhone controllati dalle imprese verranno utilizzati per estrarre informazioni sui propri dipendenti, e ciò potrebbe essere legale o meno, a seconda delle circostanze. E naturalmente l'uso o il sospetto uso di dati in queste circostanze può anche essere utilizzato per mettere in imbarazzo un'organizzazione.

Mi chiedo se i coltivatori di bot cercheranno queste informazioni sui computer che hanno compromesso e su cosa potrebbero pensare di farne. Un terrorista molto intelligente potrebbe cercare persone che sembrano avere regolarmente accesso a luoghi interessanti e trovare un modo per piantare una sorta di carico utile pericoloso su queste persone.

Infine, l'accesso root all'iPhone stesso, che potrebbe avvenire in remoto, potrebbe ottenere l'accesso non solo alle informazioni sulla posizione corrente (che probabilmente l'autore dell'attacco avrebbe già), ma anche alle posizioni precedenti.

I ricercatori notano una contromisura semplice e utile: crittografare i backup tramite iTunes (fare clic sul dispositivo in iTunes e quindi selezionare "Encrypt iPhone Backup" nell'area "Opzioni") . Un altro sarebbe scrivere uno script per eliminare sistematicamente i file mentre viene eseguito il backup, o per configurare i backup in modo che non vengano ripristinati, o semplicemente disattivarli ....

Aggiornamento: Per una soluzione più completa, chiunque (senza jailbreaking) può applicare i trigger SQL nell'articolo notato: Blocking iPhone Tracking (consolidato.db) Risolto - Dominic White

Aggiornamento 2: Apple ha appena rilasciato una dichiarazione in cui si afferma che si tratta di dati memorizzati nella cache da altri iPhone, non dati sulla posizione per il singolo utente, che cambieranno la quantità archiviata e dove, e interrompi il backup: Apple - Informazioni stampa - Apple Q & A sui dati di posizione

Non so, il seguente sembra un modo semplice per ottenere informazioni su qualcuno, senza molto lavoro.

Da link

To test whether I was being paranoid, I ran a little experiment. On a sunny Saturday, I spotted a woman in Golden Gate Park taking a photo with a 3G iPhone. Because iPhones embed geodata into photos that users upload to Flickr or Picasa, iPhone shots can be automatically placed on a map. At home I searched the Flickr map, and score—a shot from today. I clicked through to the user's photostream and determined it was the woman I had seen earlier. After adjusting the settings so that only her shots appeared on the map, I saw a cluster of images in one location. Clicking on them revealed photos of an apartment interior—a bedroom, a kitchen, a filthy living room. Now I know where she lives.

Un esempio che mi è stato dato è il controllo parallelo degli attivisti politici. Se si ottengono i dati di localizzazione da un iPhone, è possibile sapere automaticamente se il proprietario era parte di una protesta o di una riunione. Con i dati di localizzazione di molti iPhone, potresti persino dedurre l'esistenza, il tempo e la posizione delle riunioni di cui non eri a conoscenza. Se questo è un problema di sicurezza dipende dal punto di vista: alcune agenzie governative lo vedrebbero come una soluzione .

Ovviamente, quando un iPhone registra quale torcia cellulare avverte, detta cella sporge anche rileva l'iPhone, e segnala diligentemente tale circostanza all'operatore telefonico, perché è così che l'iPhone può agire come, diciamo, un telefono (con un utente che può essere chiamato). Dover estrarre i dati da un file sull'iPhone mi sembra molto indiretto e inefficiente; semplicemente chiedere i dati all'operatore è molto più semplice. Quindi ho qualche problema a immaginare quale sia il nuovo livello di sicurezza che questo file crea.

Dominic White passa attraverso un blog molto dettagliato intitolato Blocco Monitoraggio iPhone (consolidato.db) risolto . Questo è il miglior post sul blog sull'argomento e fornisce alcune soluzioni molto semplici e dettagliate per entrambi i telefoni jailbroken e stock.

C'è un uso @nealmcb toccato ma è piuttosto un problema - indagini legali. Generalmente l'applicazione della legge richiede warrant (varia in base alla giurisdizione) per sequestrare e analizzare i computer di un sospetto. Di solito non richiedono lo stesso per i telefoni, che di solito possono essere confiscati quando si porta in custodia il sospetto e il file è facilmente accessibile a chiunque.

Quindi diventa molto facile per le forze dell'ordine sapere dove si trovava il sospetto alle 22:00 dello scorso martedì (lo so, in realtà sanno dove si trovava il telefono martedì scorso, ma comunque ...)

Immagino che ci sarà un'app molto presto che la pulisce quotidianamente: -)

In genere, le coordinate dell'iPhone sono informazioni personali, quindi la maggior parte delle direttive per la protezione dei dati lo proteggono. Questa non è una vulnerabilità, si tratta di una divulgazione di informazioni personali che dovrebbero essere riservate e soggette al consenso del proprietario dei dati --- > questa è una violazione della privacy. Ancora il rischio non deve essere valutato con un C.Vulnerability.S.S. valutazione che mostra la prospettiva Riservatezza integrità e disponibilità, ma richiede una scala diversa per le violazioni della privacy.

Immagina che wikileaks pubblichi quei dati online! Immagina quanti coniugi / marito che tradiscono il suo / il suo / a partner / a / a / a / a / a / a sarebbero in pericolo). Quante informazioni personali di consegna verrebbero trovate in posti sbagliati ... Questi dati sono personali e hanno un tipo di rischio personale che per alcuni non sarebbe nulla e per gli altri sarebbe molto. Per esempio, se puoi monitorare i movimenti del politico ... sai che tutti hanno un iPhone da quei politici;)

Come puoi proteggerti? Non lo so. Interessante, ho scattato alcune foto con un iPhone 3G e quando ho sincronizzato queste immagini con il mio iPhone 4, per ogni foto, l'iPhone mi stava dicendo esattamente dove ero. Quindi, la giustificazione di Apple sarebbe sicuramente questa, ma ciò mi ha lasciato perplesso per lungo tempo. In mezzo suppongo tu sappia che iPhone 3G non supportava le coordinate GPS con le foto (almeno non documentate da nessuna parte)

controlla PiOS link se desideri ulteriori approfondimenti

L'hacking di iPhone è comune sia agli utenti (noti anche come jailbreak) che agli hacker. Non so quale versione di questa funzione sia stata implementata perché ci sono exploit che possono prendere il controllo del tuo telefono semplicemente usando Safari. Molti telefoni jailbroken hanno abilitato ssh con una password di root predefinita. Molti utenti non sanno cosa sia ssh.

Quindi dimmi che qualcuno compromette il tuo iPhone e ottiene questo file. Che dose ha davvero l'attaccante? Beh, loro sanno dove sei stato e quando (penso che il logger dia il tempo ma non mi citi sopra ...). Ciò significa che conoscono la tua routine quotidiana. E visto che riescono a capire dove vivi guardando dove si trova il telefono durante la notte e sanno quando lavori, c'è una grande opportunità di frenare.

Un altro uso è usare l'ingegneria sociale. Di 'che hai hackerato un telefono CEO e vuoi estrarre i dati da lui, ma non sai come si trova in ufficio per evitare che si trovi in ufficio. Bene, hai la sua posizione attuale, aspetta fino alla sua partenza e alla chiamata.

Puoi farlo anche su un bersaglio sconosciuto, chiamare e dire che sei lì portatore e che c'è un problema con la fatturazione. E quando chiedono la prova puoi dare l'indirizzo di casa lì e se hai accesso al telefono dai loro la posizione attuale come prof.

Ora, come si può proteggerli da soli? È la parte difficile. I miei suggerimenti sono i seguenti:

• Mantieni il dispositivo aggiornato
• Se esegui il jailbreak, fai in modo che sappia cosa stai facendo. disattivare ssh e altre funzionalità.
• Turn of Location Services (non so se funzionerà, ma se non lo so lo saprò.)
• Se hai un jailbreak, il telefono cerca le app in Cydia che renderanno la funzione o cancellino il file.

Telefoni Android.

Ho visto una presentazione di Black Hat o Def Con su Android hacking e hanno scritto un'app che è stata in grado di fare senza aver richiesto la posizione o le premesse di networking è stata in grado di telefonare a casa con la posizione corrente. Ha letto il file syslog ed è stato in grado di trovare le coordinate correnti che altre app avevano registrato e inviarlo a un server remoto.

Ruba / trova un iPhone, deduci facilmente dove vive il proprietario, lavora, spende le sue vacanze ecc ... Un sogno stalker bagnato, è sicuramente molto più conveniente che seguire qualcuno 24/365.

Non fa molta differenza per le forze dell'ordine, a meno che tu non sia andato in un paese straniero il cui operatore mobile non possa citare in giudizio come possono già chiedere agli operatori i log.

Per quanto riguarda la protezione di te stesso, sembra che il file non cancellato fosse in realtà un bug e dovrebbe essere corretto dal prossimo aggiornamento del software ...