Quali sono le migliori pratiche per mantenere la privacy su un dispositivo iOS non jailbroken?

4

iOS, come la maggior parte degli altri sistemi operativi mobili, ha il potenziale di perdere significative quantità di informazioni personali in app di terze parti e reti di annunci e di tracciamento utilizzate da tali app, che a loro volta hanno il potenziale di consentire l'aggregazione e il tracciamento dell'utente identità e comportamento attraverso le app.

I servizi di localizzazione sono stati finalmente bloccati e il browser nativo di Safari può essere tenuto pulito, ma le app installate possono comunque accedere a Contatti, foto e identificativi univoci del dispositivo senza la conoscenza o il consenso dell'utente.

Quali strategie, tattiche e strumenti sono disponibili per migliorare la privacy rispetto alle app di terze parti, pur mantenendo un ragionevole livello di funzionalità?

    
posta pseudon 24.03.2012 - 19:46
fonte

3 risposte

3

Oltre alle altre risposte, ecco altri suggerimenti:

  • se devi utilizzare i social media, utilizza il loro sito mobile o un client di terze parti. I social media sono malvagi per definizione in quanto il loro modo di fare soldi è la rivendita di dati personali, ma gli sviluppatori di terze parti non potrebbero importare di meno del sito di social media fare soldi, vogliono semplicemente comprare l'app loro e rispetterà la tua privacy nella maggior parte dei casi. Assicurati di fidarti dello sviluppatore, un esempio concreto di app maligne di terze parti sarebbero le infinite app di Snapchat che provengono da sviluppatori sconosciuti, spesso con nomi cinesi; se vuoi vedere il danno fatto da queste app, cerca snapchat leaked (NSFW); se non riesci a trovare un cliente di cui ti fidi, non utilizzare affatto quel servizio di social media.

  • non installare tutte le app che vedi. Per uno sviluppatore, la loro app sul dispositivo dovrebbe essere un privilegio , non un diritto. Non c'è davvero bisogno di installare l'app del negozio di vestiti più recente o la nuova app per confrontare i biglietti del treno / aereo. Anche le app delle notizie sono malvagie, non c'è davvero bisogno di un'app per leggere le notizie, Safari può farlo bene, sia per comprare vestiti, leggere notizie e circa il 70% di quello che stai facendo sul telefono.

  • preferisci le app a pagamento a quelle gratuite. Le app gratuite indicano che c'è pubblicità (la tua privacy è violata dalle società pubblicitarie) o che diventi il prodotto (la tua privacy è violata dagli stessi sviluppatori dell'app). Entrambi sono ugualmente cattivi. Le app a pagamento, d'altra parte, non hanno pubblicità, quindi, supponendo che tu abbia fiducia nello sviluppatore, dovresti essere sicuro.

  • di nuovo, usa Safari (in modalità di navigazione privata) quando possibile. L'installazione di un'app dovrebbe essere solo come ultima risorsa e questo dovrebbe significare che ti fidi completamente dello sviluppatore, il che dovrebbe essere raro che sia il caso.

  • infine, se hai i mezzi tecnici e le conoscenze per farlo, considera di trasferire tutto il traffico del tuo dispositivo attraverso la rete (tramite un proxy HTTP, VPN o APN personalizzato, quest'ultimo è molto costoso ma significa che il gestore indirizza tutto il traffico Internet dal tuo piano mobile direttamente attraverso la tua rete, evitando la necessità di configurare una VPN sul dispositivo stesso). Vedrai, oltre al oscuro traffico causato dal dispositivo stesso, un bel po 'di traffico analitico e reporter di crash. Anche se sono meno malvagi della semplice pubblicità, dovrebbero anche bruciare all'inferno. Bloccali a livello di proxy (che può filtrare in base al nome host anche con HTTPS) o a livello di firewall nel peggiore dei casi.

risposta data 14.03.2015 - 15:15
fonte
2

La mia risposta irriverente ma accurata è "non conservare le tue foto nudey su iPhone". È possibile controllare le app sniffando i dati inviati da e verso un iPhone in una configurazione rappresentativa, ma non sarà possibile esaminare i dati inviati dalle app che utilizzano TLS correttamente. Se non ti fidi delle app di terze parti con dati sensibili, non dare loro alcun dato sensibile con cui giocare.

Dove puoi verificare la funzione di una particolare app (ad esempio ottieni un rapporto di prova di terze parti o ti offrono la fonte da controllare e hai fiducia che abbiano usato la stessa fonte per costruire il prodotto, o è la tua app) quindi puoi essere sicuro che su un iPhone non jailbroken, il contenuto memorizzato da quell'app nel suo contenitore non è disponibile per altre app a causa delle restrizioni sandbox. Ma se l'app inizia a utilizzare la memoria condivisa come il rullino fotografico o la rubrica, sei tornato a fidarti di tutte le app.

    
risposta data 25.03.2012 - 12:59
fonte
2

Oltre a ciò che fornisce l'App Store, l'ispezione delle norme sulla privacy viene in genere eseguita manualmente per le app iOS.

Utilizzo un blackhole DNS per creare un proxy trasparente durante l'esecuzione di Network Miner e utilizzando un proxy di collegamento collegabile per riprodurre SSL / TLS o altri protocolli crittografati. Mallory è spesso citato come un grande proxy di collegamento collegabile, ma preferisco Burp Suite Professional perché spesso eseguo compiti aggiuntivi con questo strumento. Nota che questo metodo blackhole DNS non cattura gli IP che non eseguono la conversione dei nomi, sebbene uno sniffer continui a raccogliere il traffico.

Un metodo migliore potrebbe essere quello di ispezionare il codice sorgente durante e dopo la sua costruzione (quando disponibile). Io uso xcodebuild (insieme a clang-analyzer e Fortify 360 SCA sourceanalyzer) e Flash Professional per gestire gran parte di questo lavoro. Lo strumento analyze_ios.pl di smartphonesdumbapps è anche abbastanza eccellente.

Ci sono molti strumenti per tracciare l'esecuzione quando si usa il simulatore iOS, come dtruss, iprofiler, Instruments, iosnoop, execsnoop, il DTraceToolkit, ecc. - tutto ciò si basa davvero sulla versione OS X di DTrace. Questi non sono disponibili sul dispositivo, che supporta gdb (XCode inoltre collega automaticamente lldb a iOS Simulator o al dispositivo quando crea il codice dalla GUI).

Se vuoi vedere il runtime Objective-C sul dispositivo, consiglio vivamente cycript.

Le politiche di Apple relative a Contatti e UDID stanno cambiando rapidamente. Non credo che le politiche di Apple possano essere invocate, dal momento che molte app dannose sono state rese disponibili attraverso il loro App Store nel corso della sua esistenza. Sì, meno di Android - ma è ancora successo.

Esistono alcune app Android che eseguono questo tipo di ispezione, come il Logging Checker di TrevE e le numerose app di Lookout Mobile Security. Non trovo questi strumenti perfetti ed eseguo un'analisi simile a quella di iOS utilizzando strumenti simili (strace invece di DTrace, emulatore Android invece di iOS Simulator, Android SDK invece di xcodebuid, Eclipse ADT invece di XCode GUI, FindBugs invece di clang-analyzer, ecc.)

Sono sicuro che vorremmo tutti avere equivalenti per le app Lookout Mobile Security su iOS, oltre a un'implementazione con cycript per smali su Android.

    
risposta data 27.03.2012 - 04:34
fonte

Leggi altre domande sui tag