Als eindeutige Device-ID wird bei Apple meist die UDID verwendet. Das ist eine eindeutige Nummer, die jedes iPhone oder iPad bekommt. Unter Android wird meist die IMEI übermittelt. Ein Advertising-Network wie Mobclix oder ein Nutzungsanalysedienst wie Flurry kann mit dieser Nummer zunächst keine persönlichen Daten wie Name und Adresse ermitteln, es sei denn, sie schnüffeln auch im Adressbuch oder anderen geeigneten Daten auf dem Mobiltelefon herum.
Es gibt aber durchaus auch andere Möglichkeiten. Beispielsweise können die App-Hersteller eine Registrierung verlangen, bei der persönliche Daten abgefragt werden. Das muss nicht unbedingt Name und Adresse sein, sondern es kann sich auch um allgemeinere Daten wie Alter und Geschlecht handeln. Diese Daten kann ein Dienst mit IMEI oder UDID verbinden.
Auch Apple oder ein Mobilfunkprovider kann eine Identifizierung durchführen. Für Apple ist es beispielsweise möglich festzustellen, welches iTunes-Konto üblicherweise von einer bestimmten UDID verwendet wird. Die transitive Kette sieht dann wie folgt aus: UDID -> iTunes-Konto -> Name. Dasselbe gilt für Mobilfunkprovider. Meist steckt in einem Mobiltelefon dieselbe SIM-Karte, über deren Nummer (IMSI) der Nutzer identifiziert werden kann. Über IMEI -> IMSI -> Name und Adresse ist der Zusammenhang schnell hergestellt.
Wer mit Wireshark einen Blick auf Apps wirft, die Flurry verwenden, erkennt, dass unter Android neben der IMEI zahlreiche Konfigurationsinformationen über das Handy übermittelt werden. Bild 2 zeigt, dass die genaue Hardwareaustattung und die Betriebssystemversion an Flurry gesandt werden.
Etwas anders sieht es bei iOS aus. Da die Anzahl von iOS-Geräten überschaubar ist, müssen Daten wie die Bildschirmauflösung nicht übermittelt werden. Dafür sieht man in Bild 3, dass beispielsweise das Spiel "Paper Toss" auch die Zeitzone übermittelt. Da diese normalerweise automatisch gesetzt wird, lässt sich zumindest auf den Aufenthaltsort Deutschland schließen.
Nicht immer werden UDID oder IMEI verwendet. Googles Advertising-Network AdMob sendet als eindeutige ID, die sogenannte ISU. Sie wird aus UDID oder IMEI berechnet, aber vor der Übertragung per MD5 gehasht, so dass keine Rückschlüsse mehr auf UDID beziehungsweise IMEI möglich sind.
Das hört sich im ersten Moment gut an, nützt aber im Zweifel jedoch wenig. Wer, auf welchem Wege auch immer, an UDID oder IMEI gekommen ist, kann einfach den MD5-Algorithmus darauf anwenden und den erhaltenen Wert mit der gehashten ISU vergleichen.
Seine Trainingsdaten umfassen 3,8 Milliarden Parameter. Laut Microsoft bietet es eine ähnliche Leistung wie OpenAIs…
Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux.
Probleme treten vor allem bei Nutzern von Outlook Web Access auf. Das optionale Hotfix-Update für…
Die Einladung zeigt einen zeichnenden Apple Pencil. Der wiederum deutet auf neue iPads hin. Es…
Die Richtlinie erhält 584 Ja-Stimmen und 3 Gegenstimmen. Das „Recht auf Reparatur“ beinhaltet unter bestimmten…
Die Tests basieren auf tatsächlich existierenden Sicherheitslücken. GPT-4 erreicht eine Erfolgsquote von 87 Prozent. Alle…
