Teilen
- Pressemitteilung BoxID 422040
- Newsroom
- Media Monitor
Apple iOS Update löst die Datenschutzprobleme nicht vollständig
Geodaten werden nur in anderer Datei abgelegt
(PresseBox) (Heilbronn, )
cirosec, der Spezialist im IT-Sicherheitsbereich, weist darauf hin, dass das neu ausgelieferte Software-Update iOS 4.3.3 von Apple die Datenschutzprobleme nicht vollständig löst.
Die Ortungsdaten von Apple werden nun einfach nur in eine neue Datenbank ausgelagert. Diese Datenbank cache.db besitzt nahezu dieselbe Struktur wie die in den Medien bekannt gewordene "crowd-sourced"-Datenbank consolidated.db. Standortdaten, die mittels WLAN-Netzen und Mobilfunkzellen gesammelt wurden, werden nun in dieser neuen Datei zwischengespeichert.
Die Datenbank ist zwar nicht mehr im iTunes Backup gespeichert, auf den Geräten ist sie allerdings weiterhin vorhanden und kann bei physikalischem Besitz der Geräte von einem Angreifer sehr leicht ausgelesen werden.
cirosec demonstrierte bereits im August letzten Jahres eine Angriffsmethode, mit der auf Apple-Geräten eine Live-Umgebung gestartet wird und binnen fünf Minuten alle sensitiven Informationen ausgelesen werden können. Dazu gehört auch die "crowd-sourced"-Datenbank mit den Standortdaten, die auch in der aktuellen Version iOS 4.3.3 unter dem neuen Namen cache.db weiterhin existiert. Mit diesen Daten lassen sich weiterhin grobe Bewegungsprofile erstellen. Zum Auslesen der Daten ist kein Jailbreak nötig. Für normale Anwender gibt es keine Möglichkeit zur Erkennung des Angriffs.
Um die Speicherung von Standortdaten zu verhindern, müssen Anwender ohne Jailbreak die Ortungsdienste vollständig deaktivieren. Damit sind aber auch alle Applikationen, die auf die Ortungsdienste angewiesen sind, unbrauchbar. Die cirosec kann in einem Proof of Concept zeigen, wie sich Anwender auch ohne Jailbreak vor der Speicherung von Standortdaten schützen können.
Die Ortungsdaten von Apple werden nun einfach nur in eine neue Datenbank ausgelagert. Diese Datenbank cache.db besitzt nahezu dieselbe Struktur wie die in den Medien bekannt gewordene "crowd-sourced"-Datenbank consolidated.db. Standortdaten, die mittels WLAN-Netzen und Mobilfunkzellen gesammelt wurden, werden nun in dieser neuen Datei zwischengespeichert.
Die Datenbank ist zwar nicht mehr im iTunes Backup gespeichert, auf den Geräten ist sie allerdings weiterhin vorhanden und kann bei physikalischem Besitz der Geräte von einem Angreifer sehr leicht ausgelesen werden.
cirosec demonstrierte bereits im August letzten Jahres eine Angriffsmethode, mit der auf Apple-Geräten eine Live-Umgebung gestartet wird und binnen fünf Minuten alle sensitiven Informationen ausgelesen werden können. Dazu gehört auch die "crowd-sourced"-Datenbank mit den Standortdaten, die auch in der aktuellen Version iOS 4.3.3 unter dem neuen Namen cache.db weiterhin existiert. Mit diesen Daten lassen sich weiterhin grobe Bewegungsprofile erstellen. Zum Auslesen der Daten ist kein Jailbreak nötig. Für normale Anwender gibt es keine Möglichkeit zur Erkennung des Angriffs.
Um die Speicherung von Standortdaten zu verhindern, müssen Anwender ohne Jailbreak die Ortungsdienste vollständig deaktivieren. Damit sind aber auch alle Applikationen, die auf die Ortungsdienste angewiesen sind, unbrauchbar. Die cirosec kann in einem Proof of Concept zeigen, wie sich Anwender auch ohne Jailbreak vor der Speicherung von Standortdaten schützen können.
Über die cirosec GmbH
Die cirosec GmbH ist ein spezialisierter Anbieter von Beratung, Dienstleistung und Lösungen im Bereich der IT-Sicherheit. Das cirosec-Team zeichnet sich dabei durch seine zahlreichen Experten aus, die als Buchautoren, Dozenten oder Referenten internationaler Kongresse bekannt sind und den Kunden individuell mit technischem und strategischem Sachverstand beraten. Darüber hinaus verfügen sie über langjährige Erfahrung in der Konzeption und Integration von Sicherheitsprodukten in komplexen Umgebungen. Neben den klassischen Themen wie Netzwerksicherheit und Intrusion Prevention beschäftigt sich das Unternehmen schwerpunktmäßig mit Themen wie Applikationssicherheit, Wireless Security, Sicherheit sensibler Daten, Incident Handling, IT-Forensik, Informationssicherheits- und Risiko-Management und Verwundbarkeits-Management. Weitere Schwerpunkte der Tätigkeit sind Sicherheitsanalysen, Audits und Penetrationstest von Systemumgebungen und Anwendungen sowie Incident Handling, forensische Analysen und Trainings.
Weitere Pressemitteilungen dieses Herausgebers
Diese Pressemitteilung
