[Owasp-germany] Studie zur "App Privacy" in Apple's iOS - Teilnehmer gesucht

Andreas Kurtz mail at andreas-kurtz.de
Tue May 20 09:00:52 UTC 2014


Liebe OWASP Community,

aktuell sind wir auf der Suche nach Unterstützung für eine Studie im Bereich „App Privacy“. Zur Teilnahme sind lediglich ein iOS-Gerät und wenige Minuten Zeit erforderlich.

Hintergrund

Bis zur Veröffentlichung des iOS Betriebssystems in Version 7 konnten Apps auf diverse Hardwaremerkmale zugreifen. Dazu zählte beispielsweise ein sogenannter "Unique Device Identifier" (UDID) oder die Hardware-Adresse des WLAN-Moduls (WiFi MAC). Beide Merkmale wurden in Vergangenheit von Apps häufig missbraucht, um persönliche Daten und Verhaltensmuster einzelnen Nutzern zuzuordnen und u.a. an Werbenetzwerke zu übermitteln. Apple reagierte mit der Veröffentlichung von iOS 7 darauf und schaffte diese Hardware-Merkmale ab.

Im Rahmen eines Forschungsprojekts am Lehrstuhls für IT-Sicherheitsinfrastrukturen der Universität Erlangen-Nürnberg möchten wir nun herausfinden, ob Geräte auch ohne diese Hardware-Merkmale, über frei zugängliche Informationen des iOS Betriebssystems, weiterhin eindeutig identifiziert und einem Nutzer zugeordnet werden können.

Fingerprinting

Um dieser Fragestellung nachzugehen, haben wir eine App entwickelt, die frei zugängliche, benutzer-spezifische Informationen des iOS Betriebssystems abfragt. Dazu zählen beispielsweise das Gerätemodell, Systemeinstellungen, installierte Apps etc. Diese Daten können grundsätzlich auch von jeder anderen App abgefragt werden. Getreu dem Motto "Zeige mir Deine Apps, und ich sag Dir, wer Du bist" möchten wir so ermitteln, wie individuell bzw. eindeutig die iOS-Gerätekonfigurationen sind. Die ermittelten Daten werden anschließend zu einem "Fingerabdruck" zusammengesetzt und (nach Zustimmung) an einen Server der Universität Erlangen-Nürnberg gesendet. Dort wird der Fingerabdruck mit dem anderer Nutzer verglichen und dessen Eindeutigkeit bestimmt. Die App zeigt im Anschluss direkt, wie eindeutig die jeweilige Gerätekonfiguration ist und welche der gesammelten Daten wie stark zur Eindeutigkeit des Fingerabdrucks beitragen. Auf diese Weise können Teilnehmer der Studie erkennen, inwieweit sie auch von anderen Apps möglicherweise eindeutig identizfiert werden können.

Teilnahme an der Studie

Interessierte können unsere Fingerprinting App „Unique?“ aus dem Apple App Store herunterladen:
https://itunes.apple.com/de/app/unique/id835879646?mt=8&ls=1

Die App führt durch die Erstellung des Fingerabdrucks und erläutert alle Schritte nochmal ausführlich. Die gesammelten Daten können anschließend eingesehen werden und (optional) zur späteren Auswertung an uns übermittelt werden.
 
Bitte leitet diese E-Mail auch an iPhone/iPad-Nutzer in eurem Bekanntenkreis weiter.

Vielen Dank für eure Unterstützung!
Andreas






More information about the Owasp-germany mailing list