38 Prozent aller iOS-Apps greifen nach wie vor auf UDID zu

Bei einer Untersuchung der 550 am häufigsten eingesetzten iOS-Apps hat das Sicherheitsunternehmen Zscaler herausgefunden, dass 38 Prozent von ihnen weiterhin auf die UDID (Unique Device Identifier) zugreifen. Dabei akzeptiert Apple schon seit Mai 2013 keine Anwendungen mehr für seinen App Store, die auf die Geräte-ID zugreifen wollen. Außerdem führte es bereits mit iOS 6 neue APIs ein, die die UDIDs ersetzen.

iOS 7 (Bild: James Martin/CNET)

Der Unique Device Identifier erlaubt eine eindeutige Geräte-Identifizierung und somit das Tracking des Nutzerverhaltens. Die eindeutigen Gerätekennungen werden seit Jahren von Werbenetzwerken genutzt, um Werbung zielgerichtet zu verteilen. Da App-Entwickler die Kennungen häufig mit Namen der Nutzer, Passwörtern, Handynummern und weiteren Daten verbanden, entstanden zahlreiche, oft unzureichend gesicherte und in jedem Fall wenig kontrollierte Datenbanken, mit umfangreichen persönliche Informationen über die Gerätenutzer.

Zscaler weist ausdrücklich darauf hin, dass man sich im Gegensatz zu anderen, vergleichbaren Untersuchungen nicht darauf beschränkt habe, zu prüfen, ob eine App grundsätzlich bestimmte Funktionen ausführen könnte, sondern ob sie das auch tatsächlich tut. Dazu war allerdings ein Jailbreak der zu dem Test herangezogenen iPhones erforderlich – sonst hätten die Experten nicht den erforderlichen Einblick bekommen.

Dass 38 Prozent der beliebtesten Apps immer noch Zugriff auf die UDID fordern, ist aus Sicht von Zscaler deshalb besorgniserregend, weil die App-Entwickler dadurch das Nutzerverhalten über mehrere Apps hinweg analysieren und so einzelne Nutzer zweifelsfrei identifizieren können. Außerdem könnten die UDIDs mit Mobilfunknummer, Namen und Passwörtern Standortdaten und anderen Informationen verknüpft werden.

Apples neuer Ansatz, die UUID (Universally Unique Identifier), ist zwar theoretisch sicherer, lässt sich aber auch austricksen. Die UUID ist pro App und Gerät einmalig. Wird die App auf dem Gerät gelöscht und später neu installiert, entsteht auch eine neue UUID. So lässt sich das Nutzerverhalten aus mehreren Apps nicht zusammenführen – theoretisch zumindest. Denn wie Zscaler erklärt, speichern Entwickler die UUID einfach in der Keychain des Nutzers, und retten sie so über die Installation mehrerer Apps hinweg.

Eine weitere, wichtige Erkenntnis der Zscaler-Untersuchung ist, dass 60 Prozent der Apps aus dem Bereich Spiele und Unterhaltung Zugriff auf die Telefoniefunktionen anfordern, also Informationen zum Mobilfunkprovider, und zu Telefongesprächen, sowie Standortdaten. Diese Tatsache ist nach Ansicht des Unternehmens zwar eher eine Frage der Privatsphäre, sei aber dennoch beunruhigend.

Zscaler empfiehlt Anwendern und Firmen, die die Nutzung von Geräten mit iOS zulassen, schlicht vorsichtig zu sein. Schließlich müssten nicht alle diese Übergriffe auf die Privatsphäre von jedermann in gleicher Weise als bedrohlich empfunden werden. Während Apple selbst mit dem offenbar nicht ausreichend streng gehandhabten Verbot des Zugriffs auf die UDID nicht für die oft suggerierte Sicherheit und Abgeschirmtheit sorgen kann, steht Nutzern eines iOS-Geräts mit Jailbreak beispielsweise die Möglichkeit offen, mit Protect my Privacy zumindest den heimlichen Zugriff aufs Adressbuch festzustellen und gegebenenfalls sofort zu untersagen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

10 Kommentare zu 38 Prozent aller iOS-Apps greifen nach wie vor auf UDID zu

Kommentar hinzufügen
  • Am 21. Juli 2014 um 14:44 von Judas Ischias

    So so, soviel zum Thema Sicherheit beim Apfel. ;-)
    Wer es wirklich darauf anlegt, kommt fast überall rein.
    Schließlich ist es von Menschen entwickelt und Menschen machen nun mal Fehler.
    Auch bei Apple! :-D

    • Am 21. Juli 2014 um 15:02 von Hi, hi...

      …Judas, Du hast Recht!
      Das Blöde an der Sache ist nur, dass jedes andere System als iOS mindestens genauso löchrig ist, oder schlimmer! Was sind, Deiner Meinung nach, die Alternativen?

      • Am 21. Juli 2014 um 17:53 von Ja...

        … im Prinzip witzig, Androiden im Selbstgespräch, wenn es nur nicht teuer werden könnte … und nahezu alle Androiden beträfe – mal wieder:

        http://www.zeit.de/digital/datenschutz/2014-07/android-hack-google-voice-search

        • Am 21. Juli 2014 um 19:36 von Hi, hi...

          …muß ich das verstehen?
          Ich bin ja bestimmt alles Mögliche, aber ich bin ganz sicher kein Androide! Einfach mal ein paar meiner Kommentare lesen…

        • Am 21. Juli 2014 um 20:28 von AppleLügen

          Eigentlich kann ja Apple nichts dafür das die Entwickler immer noch die UUID verwenden. Aber eigentlich verspricht Apple seinen Anwender das sie jede App gründlich prüfen. Nichts als Lüge, Lüge Lüge. Das ist Kundenverarsche hoch 10. Gar nichts macht Apple außer die Hand aufhalten und kassieren.Es zählt nur der Profit. Denen sind die Anwender echt scheißegal. Das ist, wie Mac-Harry mal geschrieben hat, ein absoluter Dr…..laden. Die sollen endlich von der Bildfläche verschwinden.

        • Am 21. Juli 2014 um 20:39 von punisher

          „Aber in erster Linie sollten sie keine Apps installieren, denen sie nicht wirklich trauen.“

          Es gilt wie immer, ‚unbekannte Quellen‘ für die Installation müssen explizit aktiviert sein und die app muss installiert werden…

  • Am 21. Juli 2014 um 18:48 von Judas Ischias

    Tja, hmmm, grübel, grübel. Ehrlich gesagt, fällt mir nur ein, man wähle was man denkt, dass es für sich selbst das kleinste Übel ist.
    So etwa, wie zwischen Pest und Cholera. Wenn man Glück hat, dann hat man schon ein wenig Abwehrkräfte in Gang gesetzt.
    Und das ist für mich im Moment eben Android, aber halt mit Zähneknirschen.
    Und wird eben in kleinen Schritten immer noch etwas „un-freier“.
    Da passt ja eigentlich der Spruch besonders gut:“Wer die Wahl, hat die Qual“. Dem ist nichts mehr hinzuzufügen.

  • Am 21. Juli 2014 um 20:38 von Silvio

    Es ist schon komisch. Kommen Apple Sicherheitsprobleme wird der Blick von den Lesern gleich nach Android gelenkt. In den Android Lücken ließt man dann immer von Google. Es ist schon erstaunlich entweder wollen es die Menschen nicht verstehen, oder alle haben nach der Geburt nichts gelernt. Aber eines ist auf jeden Fall sicher, es gibt eine Menge Menschen in der Welt die mit euren Sorgen gerne tauschen würden.

    Mfg

  • Am 22. Juli 2014 um 5:47 von Judas Ischias

    @Namenloser,
    Du scheinst doch sehr verwirrt oder unaufmerksam zu sein. ;-)
    Eigentlich hätte dir sonst auffallen müssen, Hi, Hi hat mir geantwortet. Also schon mal kein Selbstgespräch!
    Wenn es denn ein Selbstgespräch wäre, so dass Hi, Hi auch ich wäre, dann muss es heißen:“ein Androide im Selbstgespräch.“
    Entweder gehen dir mittlerweile in deinem Verfolgungswahn völlig die Gäule durch, oder Du hast einen unheimlich schlechten Tag erwischt?

  • Am 22. Juli 2014 um 8:25 von Hi, hi...

    @Redaktion
    …ihr müsstet eventuell eure Informationen über Protect My Privacy aktualisieren. Die derzeit aktuelle Version 3.2.5 kann weit mehr, als nur den heimlichen Zugriff auf das Adressbuch unterbinden.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *