Oh mein Gott
So eindeutig lässt sich jedes iPhone zuordnen
Die kurze Version: Schnappt euch diese App! Die lange Version erklären die folgenden 15 Absätze.
Vor noch nicht all zu langer Zeit, stattete Apple jedes iPhone mit einer eindeutigen Kennziffer aus. Über die sogenannte UDID ließ sich jedes iPhone eindeutig zuordnen. Zwar vereinfachte der eindeutige Fingerabdruck den App Store-Entwicklern das Leben – abgeschlossene Abonnements & Co. konnten direkt an die UDID gekoppelt werden – die Identifikationsnummer machte die iPhone-Nutzer jedoch auch überwachbar.
Werbeanbieter und Tracking-Firmen konnten die UDID aus mehreren Applikationen heraus abrufen und so detaillierte Nutzerprofile anlegen. Daten wurden korreliert, um zusätzliche Informationen angereichert und von zahlreichen Marketing-Firmen katalogisiert.
Dann kam es, wie es kommen musste: Die UDID sorgte an mehreren Fronten für Probleme. Zum einen stand Apples zentrales Identifikationsmerkmal, nach mehreren Datenverlusten in Millionenhöhe, über Monate hinweg im Fokus kritischer Datenschützer. Zum anderen offenbarten sich unvorhergesehene Schwierigkeiten beim iPhone-Verkauf. Gebrauchte Geräte, die auf eBay und in der „Zweiten Hand“ ihren Besitzer wechselten, behielten ihren Fingerabdruck bei und identifizierten die neuen Benutzer weiterhin unter der alten Kennziffer.
App-Entwickler, die die UDID in ihren Anwendungen zur Erkennung von bestehende Mitgliedschaften, laufenden Abos oder für den einfachen Login genutzt hatten, stolperten reihenweise über ihre Bequemlichkeit.
Zur Einführung von iOS 5 entschloss sich Apple daraufhin, die UDID komplett aus dem iPhone-Betriebssystem zu entfernen. Entwickler und Werbetreibende sollten fortan mit einer alternativen Kennziffer versorgt werden, die nicht mehr an das Gerät, sondern an einzelne Applikationen gebunden sein sollte. Zum 1. Mai 2013 schnitt Apple die alten Zöpfe dann endgültig ab und entfernte die UDID-Abfrage – die bis dahin nur als „veraltet“ markiert war – komplett aus dem iPhone-Betriebssystem.
Ist die eindeutige Identifikation dennoch möglich?
Der Student Tobias Becker, der an der Universität Erlangen-Nürnberg derzeit an seiner Masterarbeit schreibt, wirft nun eine spannende Frage auf: Ist die eindeutige Identifikation unterschiedlicher iPhone-Einheiten dennoch möglich?
Mobile Device Fingerprinting am Beispiel von iOS
Die aus dem App Store geladenen iPhone-Applikationen haben zwar keine Möglichkeit mehr, sich die UDID eures Gerätes ausgeben zu lassen, können aus ihren App-Sandkästen aber mitunter so eindeutige Informationen über euer Gerät einsammeln, dass sich im besten (bzw. schlechtesten) Fall noch immer eine ID errechnen lässt, die euch eindeutig ausweist.
Tobias schreibt:
Das Thema meiner Arbeit lautet „Mobile Device Fingerprinting am Beispiel von iOS“ und ich beschäftige mich darin mit der Fragestellung, zu welchem Grad ein Nutzer bzw. sein Gerät seit der Entfernung der UDID aus dem iOS SDK (mit Version 7) noch eindeutig identifizierbar ist, wenn nur frei verfügbare Informationen über Gerät und Nutzer verwertet werden. Um diese Frage zu klären, brauche ich natürlich eine ausreichend große Stichprobe an Gerätedaten. Daher habe ich eine iOS-App dafür entwickelt und suche momentan nach Nutzern.
Die App nennt sich Unique (AppStore-Link), ist als akademisches Experiment natürlich kostenlos verfügbar und sollte euch definitiv einen Blick wert sein. So veranschaulicht der Download, wie einfach die Sammlung frei verfügbarer Gerätedaten auf eurem iPhone ist.
Mit dieser App sammelt Tobias Teams vom Lehrstuhl für IT-Sicherheitsinfrastrukturen frei zugängliche, benutzer-spezifische Informationen des iOS Betriebssystems, die grundsätzlich auch von jeder anderen App abgefragt werden können. Dazu zählen beispielsweise das Gerätemodell, Systemeinstellungen, installierte Apps, eure Songs etc.
Getreu dem Motto „Zeige mir Deine Apps, und ich sag Dir, wer Du bist“ möchten wir so ermitteln, wie individuell bzw. eindeutig Ihre Gerätekonfiguration ist.Auf diese Weise können Sie erkennen, inwieweit Sie auch von anderen Apps möglicherweise weiterhin eindeutig identifiziert werden können.
Optional sammelt die App im zweiten Schritt auch Daten, die nur mit eurer Zustimmung abgefragt werden können. Anschließend werden sämtliche Daten zu einem „Fingerabdruck“ zusammengesetzt und (sofern ihr euch mit der Übertragung einverstanden erklärt) an einen Server der Universität Erlangen-Nürnberg gesendet. Dort wird ihr Fingerabdruck mit dem anderer Nutzer verglichen und die Eindeutigkeit bestimmt.
Ihr braucht euch jedoch nicht wie ein Versuchskaninchen zu fühlen. Die Forscher der Universität Erlangen-Nürnberg unterstreichen:
Mit dieser App möchten wir lediglich der Fragestellung nachgehen, inwieweit frei-zugängliche Daten des iOS Betriebssystems agreggiert werden können, um dadurch Nutzer möglichst eindeutig zu identifizieren. Zum Schutz Ihrer Privatsphäre werden sämtliche personenbezogenen Daten vor der Übertragung an uns unkenntlich gemacht. Dadurch können wir zwar die Eindeutigkeit Ihrer Daten bestimmen, die eigentlichen Inhalte aber nicht einsehen.
Wir empfehlen euch, die Probe aufs Exempel zu machen und die Anwendung der Forscher einfach mal laufen zu lassen. Auch wenn ihr die eingesammelten Daten nicht übertragen wollt, so überrascht die umfangreiche Analyse doch. Im Anschluss zeigen wir euch unsere Ergebnisübersicht.
Derzeit haben die Forscher ihren Test schon auf gut 400 Geräten laufen lassen und – aufgemerkt – konnten bislang noch jedes einzelne identifizieren. Dies sollte, folgt man Apples Logik, eigentlich nicht mehr möglich sein.
