debacle del rastreo de iPhone - riesgos y contramedidas

El problema de seguridad más obvio y generalizado es que cualquier persona con acceso a una máquina que respalde el iPhone puede ver dónde ha estado el teléfono. Esto puede ser una ventaja desde la perspectiva de un propietario de iPhone que quiere rastrear a sus hijos, o una desventaja desde la perspectiva de un amante infiel.

Obviamente, también es una forma de que las autoridades policiales obtengan una gran cantidad de datos sobre dónde ha estado la gente, con suerte solo después de las aprobaciones apropiadas. O alternativamente, para que puedan rastrear a los activistas, como señala Thomas.

Estoy seguro de que algunos iPhones controlados por empresas se utilizarán para extraer información sobre sus empleados, y eso puede ser legal o no, según las circunstancias. Y, por supuesto, el uso o el uso sospechoso de datos en esas circunstancias también se puede utilizar para avergonzar a una organización.

Me pregunto si los pastores de bots buscarán esta información en las computadoras que han comprometido, y qué podrían pensar hacer con ella. Un terrorista muy inteligente puede buscar a personas que regularmente tienen acceso a lugares interesantes y encontrar una manera de plantar algún tipo de carga peligrosa para esas personas.

Finalmente, el acceso de root al propio iPhone, que podría ocurrir de forma remota, podría tener acceso no solo a la información de la ubicación actual (que probablemente el atacante ya tendría), sino también a las ubicaciones anteriores.

Los investigadores observan una contramedida simple y útil: cifre sus copias de seguridad a través de iTunes (haga clic en su dispositivo dentro de iTunes y luego marque "Encriptar copia de seguridad del iPhone" en el área "Opciones") . Otro sería escribir un script para eliminar sistemáticamente los archivos a medida que se realiza la copia de seguridad, o configurar las copias de seguridad para que no hagan una copia de seguridad de ese archivo, o simplemente para desactivarlas ...

Actualización: Para una solución más completa, cualquier persona (sin jailbreak) puede aplicar los activadores de SQL en el artículo atdre anotado: Bloqueo del seguimiento de iPhone (consolidated.db) Resuelto - Dominic White

Actualización 2: Apple acaba de publicar una declaración que dice que otros iPhones no almacenan datos en caché, no datos de ubicación para el usuario individual, y cambiarán la cantidad de archivos almacenados y dónde. y deje de realizar copias de seguridad: Apple - Información de prensa - Preguntas y respuestas de Apple sobre datos de ubicación

No lo sé, lo siguiente parece ser una forma fácil de obtener información sobre alguien, sin mucho trabajo.

De enlace

  

Para probar si estaba siendo paranoico, hice un pequeño experimento. En un sábado soleado, vi a una mujer en Golden Gate Park tomando una foto con un iPhone 3G. Debido a que los iPhones integran geodatos en las fotos que los usuarios cargan en Flickr o Picasa, las tomas de iPhone se pueden colocar automáticamente en un mapa. En casa busqué en el mapa de Flickr y anoté un tiro de hoy. Hice clic en la galería de fotos del usuario y determiné que era la mujer que había visto antes. Después de ajustar la configuración para que solo sus disparos aparecieran en el mapa, vi un grupo de imágenes en una ubicación. Al hacer clic en ellas, se revelaron fotos del interior de un apartamento: un dormitorio, una cocina, una sala de estar sucia. Ahora sé dónde vive ella.

Un ejemplo que me fue dado es el control paralelo de activistas políticos. Si obtiene los datos de localización de un iPhone, puede saber automáticamente si el propietario fue parte de una protesta o reunión. Con los datos de localización de muchos iPhones, incluso podría deducir la existencia, la hora y la posición de las reuniones de las que no estaba al tanto. Si esto es un problema de seguridad depende del punto de vista: algunas agencias gubernamentales lo verían como una solución .

Por supuesto, cuando un iPhone registra qué torres celulares detecta, dichas torres celulares también detectan el iPhone e informan debidamente de ello al operador de telefonía, porque así es como el iPhone puede actuar. como, digamos, un teléfono (con un usuario al que se puede llamar). Tener que extraer los datos de un archivo en el iPhone me parece muy indirecto e ineficiente; Simplemente pedir los datos del operador es mucho más fácil. Así que tengo algunos problemas para imaginar qué debilidad de seguridad nueva crea este archivo.

Dominic White realiza una publicación de blog muy detallada titulada Bloqueo Rastreo de iPhone (consolidated.db) Resuelto . Esta es la mejor publicación del blog sobre el tema, y ofrece algunas soluciones muy sencillas y completas tanto para los teléfonos con jailbreak como para los de stock.

Se ha tocado un uso de @nealmcb pero es un gran problema: las investigaciones legales. En general, la aplicación de la ley requiere órdenes (varía según la jurisdicción) para incautar y analizar las computadoras de un sospechoso. Por lo general, no requieren lo mismo para los teléfonos, que generalmente pueden ser confiscados cuando el sospechoso está bajo custodia, y cualquiera puede acceder al archivo.

Por lo tanto, es muy fácil para la policía saber dónde estaba el sospechoso el martes a las 22:00 (sé, realmente saben dónde estaba el teléfono el martes pasado, pero aún así ...)

Supongo que habrá una aplicación muy pronto que la borre a diario :-)

Por lo general, las coordenadas del iPhone son información personal, por lo que la mayoría de las directivas de protección de datos lo protegen. Esto no es una vulnerabilidad, es una divulgación de información de información personal que se espera que sea confidencial y esté sujeta al consentimiento del propietario de los datos --- > Esto es una violación de la privacidad. Aún así, el riesgo no se debe evaluar con una vulnerabilidad de C.S.S. Clasificación que muestra la perspectiva de integridad y disponibilidad de la confidencialidad, pero necesita una escala diferente para las violaciones de privacidad.

¡Imagina que wikileaks publica esos datos en línea! Imagínese la cantidad de esposa / esposo que engaña a su compañero / a estaría en peligro;) la cantidad de personal de entrega que se encontrará en lugares equivocados ... Estos datos son personales y tienen el tipo de riesgo personal que para algunos No sería nada y para otros sería mucho. Solo por ejemplo, si puedes monitorear los movimientos de los políticos ... Sabes que todos tienen un iPhone de esos políticos;)

¿Cómo puedes protegerte? No lo sé. Lo suficientemente interesante, tomé algunas fotos con un iPhone 3G y cuando sincronicé estas imágenes con mi iPhone 4, para cada foto, el iPhone me decía exactamente dónde estaba. Por lo tanto, la justificación de Apple sería segura, pero eso me dejó perplejo por mucho tiempo. En el medio supongo que sabes que el iPhone 3G no es compatible con las coordenadas GPS con las fotos (al menos no documentadas en ninguna parte)

marque PiOS enlace si desea obtener más información

La piratería de iPhone es común tanto por los usuarios (también conocidos como jailbreak) como por los hackers. No sé qué versión de esta función se implementó porque hay vulnerabilidades que pueden controlar su teléfono simplemente usando safari. Muchos teléfonos con jailbreak han habilitado ssh con una contraseña de root predeterminada. La mayoría de los usuarios no saben lo que es ssh incluso.

Entonces diga que alguien comprometa su iPhone y obtenga este archivo. ¿Qué dosis tiene realmente el atacante? Bueno, ellos saben dónde has estado y cuándo (creo que el registrador registra el tiempo pero no me cita en eso ...). Esto significa que ellos conocen tu rutina diaria. Y ya que pueden averiguar dónde vives al mirar dónde está el teléfono durante la noche y saber cuándo trabajas, por lo que es una gran oportunidad de frenazo.

Otro uso es utilizar la ingeniería social. Diga que ha pirateado un teléfono de un CEO y desea extraer datos de él, pero no hace que él esté en la oficina para evitar que esté en la oficina. Bueno, tienes su ubicación actual, espera hasta que se vaya y la llamada.

Esto también se puede hacer en un destino desconocido, llame y diga que hay un operador y que hay un problema con la facturación. Y cuando pidan una prueba, pueden dar la dirección de la casa y, si tienen acceso al teléfono, indíquenlos allí como prof.

Ahora, ¿cómo protegerse uno mismo? forma esto. Es la parte difícil. Mis sugerencias son las siguientes:

• Mantener el dispositivo actualizado
• Si haces jailbreak, crea que sabes lo que estás haciendo. desactiva ssh y otras funciones.
• Turn of of Location Services (No sé si esto funcionará, pero si no, sé que no.)
• Si tiene un jailbreak, el teléfono busca aplicaciones en Cydia que, por lo general, activen o eliminen el archivo.

Teléfonos Android.

Vi una presentación de Black Hat o Def Con sobre piratería de android y escribieron una aplicación que podía hacerlo sin haber solicitado la ubicación o las premisas de redes podían llamar a casa con la ubicación actual. Leyó el archivo syslog y pudo encontrar las coordenadas actuales que otras aplicaciones habían registrado y enviarlas a un servidor remoto.

Robar / encontrar un iPhone, deducir fácilmente dónde vive, trabaja, arruina sus vacaciones, etc. El propietario de un acosador, es mucho más conveniente que seguir a alguien las 24 horas del día, los 365 días del año.

No hace mucha diferencia en la aplicación de la ley a menos que vaya a un país extranjero cuyo operador de telefonía móvil no pueda citar, ya que ya pueden solicitar registros a los operadores.

En cuanto a protegerse, parece que el archivo que no se purga fue en realidad un error y debería ser reparado por la próxima actualización de software ...