IOS Experte: nicht verwenden Flüstern wenn Sie möchten, um anonym zu bleiben

Wenn apps schattigen Verhalten vorgeworfen werden, ist Jonathan Zdziarski der Kerl, der untersucht. Und in dieser Woche der self-identified iOS-Forensik-Experte war schnell zur Beantwortung von Anfragen für einen tiefen Einblick in Flüstern, die vermeintlich anonymen Geheimnis-sharing-app, die nehmen Wärme in letzter Zeit wurde. Wisst ihr was: Flüstern ist nicht so anonym.

Zdziarski hat soeben seine vorläufigen Ergebnisse auf Flüstern, und sie sind nicht ermutigend, wer die app mit der Hoffnung zur Verschleierung ihrer Identität verwendet hat. Tatsächlich, basierend auf dem Back-End, fand er, dass Flüstern nicht selbst scheint, wie es gut gemeint ist. Und wenn Sie jemand über so etwas hören werden, Zdziarski ist eine gute Wette. Der Sicherheitsexperte sagt er "häufig viele Bundes- und Strafverfolgungsbehörden in digitale forensische Techniken trainiert und unterstützt die Polizei und das Militär in Fällen von hochkarätigen." Er schrieb auch Bücher über das iPhone zu hacken.

Zdziarski steht eine überraschende Erkenntnis: "die Whisper-app scheint nicht zu einer social Networking-Anwendung mit Analytics; Es scheint eine Analyse und Benutzer Erwerb Anwendung sein, die zufällig auch eine social-Networking-Komponente haben." Das heißt, das Flüstern nicht gebaut, um machen es einfach, Ihre Geheimnisse zu teilen. Es wurde entwickelt, um Ihnen den Überblick behalten.

Es kommt noch schlimmer. Nach Zdziarski protokolliert Flüstern tatsächlich identifizierende Daten unabhängig davon, ob Sie es wollen. Die iOS-Experte schreibt:

Die Anwendung erzeugt eindeutige Bezeichner zum ersten Mal, ohne anfängliche Benutzerinteraktion ausgeführt wird. … Diese eindeutigen Identifikatoren bieten positive Identifizierung des Geräts, dass bestimmte Fingerabdruck und/oder Passwort-Authentifizierung, kann auch als positive Identifizierung eines Individuums, wodurch plausible Abstreitbarkeit der Identität des Benutzers dienen. Diese Benutzer-IDs für die Lebensdauer der Anwendung existieren und zugewiesen sind, auch wenn der Benutzer anonym bleiben möchte während der Nutzung der Anwendung.

Es kommt noch schlimmer, wieder. Nachdem The Guardian berichtet, dass Flüstern Nutzer Standorten verfolgt, auch wenn sie nicht wollen, behauptet manchmal Flüstern der Chefredakteur Neetzan Zimmerman, dass die app "stark [Standortdaten] bis 500 Meter entfernt VERZERRTEM." Dies gilt nicht, laut Zdziarski:

Trotz flüstern es behauptet, dass Standortdaten "fuzzed", "gesalzen", oder in irgendeiner Weise zu einem großen Radius gereinigt, die Anwendung fordert ein Maß an Genauigkeit von Apples CoreLocation Manager von nicht schlechter als 100 Meter, wie unten gezeigt, durch die konstante kCLLocationAccuracyHundredMeters von Apple. Anderen Konstanten von Apple verfügbar sind 1km und 3km Radius, aber diese größeren Einschränkungen durch die Whisper-app nicht verwendet wurden.

Es ist erwähnenswert, dass Flüstern Ihre Standort-Daten speichert. Also auch wenn Sie nur die app einmal öffnen wenn die Ortungsdienste aktiviert sind, die app hält, dass GPS-Daten auf Datei und dauerhaft Ihre Benutzer-ID zugeordnet In diesem Sinne ist Zdziarskis Fazit Vorahnung:

Anonyme Benutzer haben guten Grund, ihre Anonymität besorgt sein, wenn die Whisper-Anwendung verwendet. Während diese nicht ihren Namen gegeben haben können, hat die Anwendung einen eindeutigen Bezeichner generiert, der potenziell verwendet werden kann, um sie über die gesamte Lebensdauer der Anwendung zu verfolgen. Wenn globale Positionsdaten von 100 m oder kleiner Radius zugeordnet, können ihre Identität gefährdet sein.

Das heißt, wenn Sie anonym bleiben möchten, verwenden Sie nicht flüstern. [Jonathan Zdziarski]