¿Cuáles son las mejores prácticas para mantener la privacidad en un dispositivo iOS sin jailbreak?

Navega tus respuestas
4

iOS, como la mayoría de los demás sistemas operativos móviles, tiene el potencial de filtrar partes importantes de información personal a aplicaciones de terceros y a redes de publicidad y seguimiento utilizadas por esas aplicaciones, que a su vez también tiene el potencial de permitir la agregación y el seguimiento de usuarios. Identidad y comportamiento en todas las aplicaciones.

Los servicios de ubicación finalmente se cerraron y el navegador Safari nativo se puede mantener limpio, pero las aplicaciones instaladas aún pueden acceder a Contactos, fotos e identificadores de dispositivos únicos sin el conocimiento o consentimiento del usuario.

¿Qué estrategias, tácticas y herramientas están disponibles para ayudar a mejorar la privacidad con respecto a las aplicaciones de terceros, mientras se mantiene un nivel razonable de funcionalidad?

    
pregunta pseudon 24.03.2012 - 19:46
fuente

3 respuestas

3

Además de las otras respuestas, aquí hay más consejos:

  • si debe usar redes sociales, use su sitio móvil o un cliente de terceros. Las redes sociales son malas por definición, ya que su forma de ganar dinero es a través de la reventa de datos personales, pero a los desarrolladores externos no les importa que el sitio de las redes sociales gane dinero, solo quieren que compres su aplicación y respetará su privacidad en la mayoría de los casos. Asegúrese de confiar en el desarrollador, un ejemplo concreto de aplicaciones de terceros maliciosas serían las aplicaciones de captura de pantalla de Snapchat infinitas que provienen de desarrolladores desconocidos, a menudo con nombres chinos; Si desea ver el daño causado por estas aplicaciones, busque snapchat leaked (NSFW); Si no puede encontrar un cliente en el que confíe, simplemente no use ese servicio de redes sociales.

  • no instale todas las aplicaciones que pueda ver. Para un desarrollador, tener su aplicación en su dispositivo debería ser un privilegio , no un derecho. Realmente no hay necesidad de instalar la última aplicación de la tienda de ropa o la nueva aplicación de comparación de boletos de tren / avión. Las aplicaciones de noticias también son malas, realmente no hay necesidad de una aplicación para leer noticias, Safari puede hacerlo muy bien, tanto para comprar ropa, leer noticias y aproximadamente el 70% de lo que estás haciendo en tu teléfono.

  • prefiere las aplicaciones pagadas a las gratuitas. Las aplicaciones gratuitas significan que hay publicidad (su privacidad es violada por las compañías de publicidad) o que usted se convierte en el producto (su propia privacidad es violada por los desarrolladores de la aplicación). Ambos son igualmente malos. Las aplicaciones pagadas, por otro lado, no tienen publicidad, por lo que suponiendo que confíes en el desarrollador, deberías estar seguro.

  • de nuevo, usa Safari (en modo de navegación privada) siempre que sea posible. La instalación de una aplicación debe ser solo como último recurso y eso significa que confías en el desarrollador por completo, lo que rara vez debería ser el caso.

  • finalmente, si tiene los medios técnicos y el conocimiento para hacerlo, considere pasar todo el tráfico de su dispositivo a través de su red (a través de un proxy HTTP, VPN o APN personalizado; este último es muy costoso, pero significa que el operador enruta todo el tráfico de Internet desde su plan móvil directamente a través de su red, evitando la necesidad de configurar una VPN en el propio dispositivo). Verá, además de la tráfico oscuro causado por el dispositivo en sí mismo, un poco de tráfico analítico analítico y de fallos. Si bien son menos malvados que la simple publicidad, también deberían arder en el infierno. Bloquéelos en el nivel de proxy (que puede filtrar según el nombre de host incluso con HTTPS) o en el nivel de firewall en el peor de los casos.

respondido por el user42178 14.03.2015 - 15:15
fuente
2

Mi respuesta frívola pero precisa es "no almacenes tus fotos nudey en el iPhone". Puede auditar las aplicaciones rastreando los datos enviados desde y hacia un iPhone en una configuración representativa, pero eso no podrá inspeccionar los datos enviados por aplicaciones que usan TLS correctamente. Si no confía en las aplicaciones de terceros con datos confidenciales, no les proporcione datos confidenciales para jugar.

Donde puede verificar la función de una aplicación en particular (por ejemplo, obtiene un informe de prueba de terceros o le ofrecen la fuente para auditar y confía en que usaron la misma fuente para compilar el producto) es su propia aplicación), entonces puede estar seguro de que en un iPhone sin jailbreak, el contenido almacenado por esa aplicación en su contenedor no está disponible para otras aplicaciones debido a las restricciones de la zona de pruebas. Pero si la aplicación comienza a usar almacenamiento compartido como el rollo de la cámara o la libreta de direcciones, volverás a confiar en todas las aplicaciones.

    
respondido por el user185 25.03.2012 - 12:59
fuente
2

Además de lo que proporciona la App Store, la inspección de la política de privacidad se realiza normalmente de forma manual para las aplicaciones de iOS.

Utilizo un agujero negro de DNS para crear un proxy transparente mientras ejecuto Network Miner y uso un proxy de registro conectable para reproducir SSL / TLS u otros protocolos cifrados. Mallory se cita a menudo como un gran proxy de registro conectable, pero prefiero Burp Suite Professional porque a menudo realizo tareas adicionales con esta herramienta. Tenga en cuenta que este método de agujero negro de DNS no detectará las direcciones IP que no realizan la traducción de nombres, aunque un sniffer todavía recogerá ese tráfico.

Un método mejor podría ser inspeccionar el código fuente durante y después de construirlo (cuando esté disponible). Uso xcodebuild (junto con Clang-analyzer y Fortify 360 SCA sourceanalyzer) y Flash Professional para manejar gran parte de este trabajo. La herramienta smartphonesdumbapps analizar_ios.pl también es bastante excelente.

Hay muchas herramientas para rastrear la ejecución cuando se utiliza el simulador de iOS, como dtruss, iprofiler, Instruments, iosnoop, execsnoop, DTraceToolkit, etc., todas ellas realmente dependen de la versión OS X de DTrace. Estos no están disponibles en el dispositivo, que es compatible con gdb (XCode también adjunta automáticamente lldb al simulador de iOS o al dispositivo cuando se crea correctamente el código desde la GUI).

Si desea ver el tiempo de ejecución de Objective-C en el dispositivo, le sugiero altamente el código de texto.

Las políticas de Apple con respecto a los contactos y UDID están cambiando rápidamente. No creo que se pueda confiar en las políticas de Apple, ya que muchas aplicaciones maliciosas han estado disponibles a través de su App Store a lo largo de su existencia. Sí, menos que Android, pero aún así ha sucedido.

Existen algunas aplicaciones de Android que realizan este tipo de inspección, como el Logging Checker de TrevE y las muchas aplicaciones de Lookout Mobile Security. No encuentro que estas herramientas sean perfectas, y realizo un análisis similar al de iOS usando herramientas similares (strace en lugar de DTrace, Android Emulator en lugar de iOS Simulator, Android SDK en lugar de xcodebuid, Eclipse ADT en lugar de XCode GUI, FindBugs en su lugar de clang-analizador, etc).

Estoy seguro de que a todos nos encantaría tener equivalentes de la aplicación Lookout Mobile Security en iOS, así como una implementación de código para smali en Android.

    
respondido por el atdre 27.03.2012 - 04:34
fuente

Lea otras preguntas en las etiquetas

¿Es el cifrado de disco basado en hardware más seguro que el software? Android Pen Testing