iPhone secretly tracks user location, say researchers

С учетом популярности Iphone / Ipad это достаточно интересная находка. Лично у меня сразу возник вопрос - используется ли это самой компанией Apple или спецслужбами в США?

9 days ago

A pair of researchers have found that Apple iPhones and iPads track users' locations and store the data in an unencrypted file on the devices and on owners' computers.

You like this

13 comments

Aleksey Nazarenkov Интересная новость ))
Хотя с большой уверенностью можно в очень скором времени ожидать в Сидии патч

И еще: не смотря на то, что в статье приводится мнение солидных людей, есть подозрение, что на джейлбрейкнутых девайсах инфу можно снять и удаленно, благо наличие уязвимостей в Сафари еще никто не отменял

Andrey Belenko Эта "находка" на самом деле специалистам была давно известна. Все популярные пакеты для (криминалистического) анализа iPhone'ов (или их бэкапов) умели разбирать эту базу и показывать историю перемещений пользователя. Более того, опубликованы книги, в которых описывается структура и содержимое consolidated.db.

Лично я рассматриваю это выступление американских "исследователей" как попытку пропиариться, которая, вопреки здравому смыслу, оказалась удачной.

Что касается использования этих данных – пока нет признаков того, что эта база данных куда-то отсылается. В то же время известно, что телефон два раза в сутки сообщает о своем местоположении в Apple. Понятно, что если активировать Find My iPhone, то обновление координат будет происходить чаще.

Что касается jailbreak'нутых телефонов – на них вообще возможно все, включая полный доступ к файловой системе, и для этого даже не всегда нужны эксплоиты для Mobile Safari :)

Andrey Rybalchenko Спасибо за этот комментарий. Мне стало интересно, и я еще поискал информации на данную тематику. Наиболее информативным оказался этот:
http://www.wired.com/gadgetlab/2011/04/apple-iphone-tracking/

Из статьи видно, что база данных действительно отсылается, и компания Apple год назал рассказала, для чего это им надо. Но вот зачем данные после передачи остаются на телефоне, да еще и в открытом виде, неясно. Может какие-то еще приложения умеют ими пользоваться?

Volodymyr Styran Судя по содержимому consolidated.db, данные там _очень_ приблизительные. Больше похоже не на координаты мобильной станции, а на координаты вышки. Это даже меньше, чем данные сетевого позиционирования, доступные мобильным операторам. В лучшем случае по этим координатам можно узнать, в каком районе города находится владелец устройства.

P.S. И да, кстати, пользователи foursquare, Lattitude & facebook Places не имеют морального права возмущаться по поводу этой "находки" =)

Andrey Rybalchenko Тем не менее, отсутствие объяснения, зачем эти данные хранятся на устройстве, при этом не зашифрованные, а также возможность несанкционированного доступа к ним вызывают вопросы к Apple. Лично мне продукция Apple нравится, но вот такой подход к безопасности клиентов _не_ нравится. Я понимаю, зачем они эти данные собирают, но не понимаю, почему продолжают хранить на устройстве после обработки.

Не удивительно, что на компанию уже подали в суд - http://www.computerworld.com/s/article/9216156/Florida_N.Y._consumers_sue_Apple_over_location_tracking , а также поступают запросы сенаторов и конгрессменов (ссылки можно найти в той же статье).

Andrey Belenko Если честно, я не вполне понимаю почему этот вопрос вызвал такую бурную реакцию и обсуждение (не только здесь; вообще). Да, координаты (весьма приблизительные, как уже отмечено выше) хранятся. Но неужели это самые важные данные из тех, что хранятся на телефоне? Адресная книга, история звонков, SMS, фотографии – это все хранится точно так же.

Что касается НСД – если у Вас есть физический доступ к iPhone или он jailbreak'нут, то прочитать из него можно практически все, включая хранилище паролей, что ИМХО несколько важнее истории местоположений :). Если физического доступа нет и целевое устройство не jailbreak'нуто, то НСД не получится.

Andrey Rybalchenko Думаю, что основное отличие в том, что данные собираются и хранятся на устройстве без ведома пользователя. Грубо говоря, пользователи знают, что за контакты, фотографии и смски они хранят на телефоне. Теперь они узнают, что там хранится еще некая информация о их передвижениях. Кого-то это возмущает, кто-то пользуется этим, чтобы заработать денег, кто-то чтобы пропиариться. Бурная реакция способствует пиар-компаниям.

Обсуждение здесь начал я, надеюсь не очень бурное :), просто как пример того, что мы не всегда знаем, что делает программное обеспечение на наших мобильных (и не очень) устройствах. Если от Майкрософта я бы подобному не удивился, то об Apple все же был лучшего мнения.

Andrey Belenko Apple утверждает, что если отключить Location Services в настройках телефона, то ничего собираться и сохраняться не будет. Так что отчасти пользователи все же дают согласие (молчаливое, т.к. Location Services по умолчанию включены, если мне не изменяет память) на сбор этих данных.

С тезисом "мы не всегда знаем, что делает программное обеспечение на наших мобильных" согласен полностью.

Andrey Rybalchenko Интересная информация :)

Сегодня появился ответ Apple на поднятый шум. Большую часть ответа можно было предсказать, но пару неожиданных моментов встретилось :) Если честно, то что они назвали "багами", мне кажется просто непродуманными настройками софта. Какой же это баг, если софт хранил лог месяцами, а не только за последнюю неделю, а также бэкапил это на компьютер?
http://www.computerworld.com/s/article/9216210/Apple_denies_tracking_iPhone_users_but_promises_changes

Хочется верить, что и шум утихнет, и компания извлечет урок и будет более тщательно продумывать тонкие моменты лавирования между удобством и безопасностью.

Andriy Lysyuk, CCIE#10933, CISSP, CISM, CISA До этого считалось, что платформа iPhone в отличие от Android более закрыта, сторонние разработчики приложений не допускаются и соответственно вирусов и троянов поменее. Но не все так просто...

Aleksey Nazarenkov Платформа действительно намного секьюрнее всех имеющихся аналогов. Другое дело, что джелбрейк это исправляет )

Vlad Samoylenko Андроид и секьюрити не совместимые понятия.А вот насчет безопасной платформы,я не слышал пока ни про одну уязвимость на windows phone 7. был только один джейлбрейк и то, его в обновлении устранили

13 hours ago
Comments