iSniff GPS-tool legt privacyprobleem van Apple’s locatiedienst bloot
Security-onderzoeker Hubert Seiwert heeft een Python-tool gemaakt, waarmee je de locatie van iOS-apparaten kunt achterhalen. Daardoor ontstaan nieuwe zorgen over de privacy van Apple’s locatiediensten. Seiwert publiceerde zijn Python-tool op GitHub. In de omschrijving is te lezen dat iSniff GPS passief snuffelt naar SSID-probes, ARP’s en MDNS (Bonjour)-packets die zijn uitgezonden door iOS-apparaten in de omgeving. Met die data kun je een apparaat identificeren en daarna kijken op welke locaties het apparaat eerder is geweest. Daarbij wordt gebruik gemaakt van de locatie van eerder gebruikte Wi-Fi-netwerken.
iOS-apparaten zenden ARP’s (Address Resolution Protocol-pakketjes) uit, die soms MAC-adressen bevatten van de Wi-Fi-netwerken waarmee het apparaat eerder was verbonden. iSniff vangt die ARP’s op en stuurt de MAC-adressen naar Apple’s Wi-Fi-locatiedienst. Daarbij wordt de data vermomd, alsof het afkomstig is van een iOS-apparaat. Vervolgens kunnen de GPS-coördinaten worden achterhaald. Hubert Seiwert kan daardoor precies achterhalen waar iemand is geweest.
De Python-tool lijkt een onschuldige proof of concept, maar kan misbruikt worden om bijvoorbeeld iemands huisadres te achterhalen. De laatste keer dat Apple’s locatiediensten in het nieuws waren vanwege privacy was in 2011. Apple moest vragen van het Amerikaanse Huis van Afgevaardigden beantwoorden en de PR-machine van Apple draaide overuren om duidelijk te maken dat Apple je locatie écht niet vastlegt. Er was destijds een tooltje verkrijgbaar waarmee je je eigen locaties kon aflezen, terwijl Apple ondertussen bleef benadrukken dat ze gebruikers niet op slinkse wijze volgden.
In hetzelfde sloot Google de API voor Wi-Fi-locatiediensten af voor Android-apparaten, toen een soortgelijk privacyprobleem ontstond. Het is bij Google nu een stuk moeilijker geworden om op basis van MAC-adres een locatie te achterhalen. Apple besloot in 2010 de locatiediensten van Google en Skyhook niet meer te gebruiken, omdat de voorkeur werd gegeven aan een eigen locatiedatabase.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Dit is net zoiets als achterhalen waar iemand is geweest omdat mensen er toevallig fotos van op internet hebben gezet.
Ik zie echt niet in hoe iemand deze gegevens kan gebruiken om mensen kwaad te doen..
De mensen moesten eens weten hoevel info je met een beetkje sniffer en andere tools op intenet net kunt achterhale. Installeer kali maar eens op je laptopie en ga er maar eens mee spelen.
Zolang je die verkregen locaties hier niet aan personen kunt koppelen zie ik eigenlijk geen privacy probleem.
Leuk al die aandacht voor Apple met die locatie/privacy zaken maar hebben mensen wel eens nagedacht wat hun eigen operator eigenlijk van ze vast legt.
Ik heb een tijd gewerkt voor een operator en in de tijd ook een gedetailleerde uitleg gekregen op het hoofdkantoor hoe men kon bepalen waar mensen zaten. Dit is voornamelijk een wens/ eis van onze eigen overheid…
Ze legden hiervoor de zendmast waar je mee veronden bent vast, de sterkte van het signaal zodat ze op basis daarvan een radius kunnen bepalen. Ook worden de nummers die je belt per mast vast gelegd zodat men kan zien welk nummer je hoe laat en hoe lang hebt gebeld en vanaf welke mast, dus locatie.
Dus ze zouden wat mij betreft op moeten houen met het lastig vallen van bedrijven als Apple, Google en Microsoft, of ze moeten de aandacht ook eens gaan vestigen op onze eigen zo betrouwbare operator.
Je moet wel heel veel moeite doen om dit werkend te krijgen, dit is niet voor iedereen weggelegd 😉 Maar probleem is duidelijk, maar is via de normale wegen zoals Twitter (locatie toevoegingen) Facebook (foto’s, locaties) Foresquare, enz enz is toch ook makkelijk iemands huis adres te achterhalen?? Daar heb je een iPhone en Apple toch niet voor nodig??
@Lordbachus: Je kunt bijvoorbeeld achterhalen dat iemand ver van huis is en waar deze precies woont. Kun je mooi het huis leegroven. Ik zie niet waarom je precies moet weten wie je berooft.
Toch mooi voor Ivo Opstelten, zo kan die zien wie waar is geweest en hoeven niet eens meer moeilijke dingen als DNA-matches aangevraagd te worden.
Stel je voor de volgende Hollywood block-buster i.p.v. de vraag “Waar was jij op *random datum* zeggen ze nu “hier met je iPhone!”
Het leven kan zoveel makkelijker!
Vreemd dat er MAC adressen van oude routers worden meegestuurd. De rede is waarschijnlijk dat er niet constant verbinding is waardoor deze nagestuurd worden. Maar dan nog kun je je afvragen waarom deze gegevens niet versleuteld zijn. Datzelfde geldt voor het feit dat een systeem zich kan voordoen als iOS device. Ik zou daar een beveiliging met bijvoorbeeld certificaten op verwachten. Apple kan dus weer even aan de bak.
Zullen ze eerst moeten achterhalen wat het mac adres van mijn iphone is…
Wow! Bekijk de video! Het is een kort fragment.
Gaaf als je zoveel tijd en/of middelen hebt om zo’n tooltje te ontwikkelen!
Jaja, dat kijkt lekker weg… Als je een beetje tijd hebt 🙂
Iiiii SEEeeee YOUououo.
Dus mocht er een groepje onverhoopte idioten weer eens inschoppen op een niemendalletje dan kunnen we zo zien waar ze even samen waren op die ene plek.
Om vervolgens even de route te checken om ze daarna op de juiste locatie ‘op te pikken’… Nu nog wat toen aan de straffen…