iOS: Mehr als jede dritte App greift weiterhin auf UDID zu

iOS 8

Der Unique Device Identifier, kurz UDID, ermöglicht die eindeutige Identifizierung des Geräts und somit das Tracking des Nutzerverhaltens. Obwohl Apple schon vor über einem Jahr keine derartigen Anwendungen mehr in seinem App Store akzeptiert, greifen aktuell noch 38 Prozent darauf zu.

Die Zahlen stammen vom Sicherheitsunternehmen Zscaler, das die 550 iOS-Apps untersuchte, die am häufigsten eingesetzt werden. Deren Ergebnissen zufolge greifen 38 Prozent der untersuchten Anwendungen nach wie vor auf die UDID zu, obwohl Apple schon seit Mai 2013 keine Apps mehr in seinen Store aufnimmt, die auf die Geräte-ID zugreifen wollen. Zudem führte der Konzern bereits mit iOS 6 neue APIs ein, die die UDIDs ersetzen. Die damit mögliche Geräte-Identifizierung sowie das Tracking des Nutzerverhaltens werden seit Jahren von Werbenetzwerken genutzt, um Werbung zielgerichtet zu verteilen. Da App-Entwickler die Kennungen häufig mit Namen der Nutzer, Passwörtern, Handynummern, Standorten und weiteren Daten verbanden, entstanden zahlreiche, oft unzureichend gesicherte und in jedem Fall wenig kontrollierte Datenbanken, mit umfangreichen persönliche Informationen über die Gerätenutzer.

Zscaler weist ausdrücklich darauf hin, dass man sich im Gegensatz zu anderen, vergleichbaren Untersuchungen nicht darauf beschränkt habe, zu prüfen, ob eine App grundsätzlich bestimmte Funktionen ausführen könnte, sondern ob sie das auch tatsächlich tut. Dazu war allerdings ein Jailbreak der zu dem Test herangezogenen iPhones erforderlich – sonst hätten die Experten nicht den erforderlichen Einblick bekommen.

Apples neuer Ansatz, die UUID (Universally Unique Identifier), ist zwar theoretisch sicherer, lässt sich aber auch austricksen. Die UUID ist pro App und Gerät einmalig. Wird die App auf dem Gerät gelöscht und später neu installiert, entsteht auch eine neue UUID. So lässt sich das Nutzerverhalten aus mehreren Apps nicht zusammenführen – theoretisch zumindest. Denn wie Zscaler erklärt, speichern Entwickler die UUID einfach in der Keychain des Nutzers, und retten sie so über die Installation mehrerer Apps hinweg.

Eine weitere, wichtige Erkenntnis der Zscaler-Untersuchung ist, dass 60 Prozent der Apps aus dem Bereich Spiele und Unterhaltung Zugriff auf die Telefoniefunktionen anfordern, also Informationen zum Mobilfunkprovider und zu Telefongesprächen, sowie Standortdaten. Diese Tatsache ist nach Ansicht des Unternehmens zwar eher eine Frage der Privatsphäre, sei aber dennoch beunruhigend.

Zscaler empfiehlt Anwendern und Firmen, die die Nutzung von Geräten mit iOS zulassen, schlicht vorsichtig zu sein. Schließlich müssten nicht alle diese Übergriffe auf die Privatsphäre von jedermann in gleicher Weise als bedrohlich empfunden werden. Während Apple selbst mit dem offenbar nicht ausreichend streng gehandhabten Verbot des Zugriffs auf die UDID nicht für die oft suggerierte Sicherheit und Abgeschirmtheit sorgen kann, steht Nutzern eines iOS-Geräts mit Jailbreak beispielsweise die Möglichkeit offen, mit Protect my Privacy zumindest den heimlichen Zugriff aufs Adressbuch festzustellen und gegebenenfalls sofort zu untersagen.

Tags :Quellen:Zscaler Björn Greif, ZDNet.deVia:Anja Schmoll-Trautmann / CNET.de
  1. Wenn Apple schon seit über einem Jahr keine derartigen Anwendungen mehr in seinem App Store akzeptiert wie können dann noch 38 Prozent darauf zugreifen? Oder sind Updates weiterhin erlaubt und nur keine neuen?

  2. Da ein Jailbreak notwendig war, ist der beweis hinfällig da die Jailbreakversion recht wenig mit der Original IOS Version zutun hat !

    Sicherheitsnachweis Praktisch Unglaubwürdig und nicht nachweisbar.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising