GCHQ betrieb iPhone-Tracking per UDID

Unter den durch das Nachrichtenmagazin “Der Spiegel” am Wochenende öffentlich gemachten Unterlagen aus dem Fundus von Edward Snowden findet sich auch ein Dokument des britischen Geheimdiensts GCHQ (PDF), welches über die Möglichkeit des iPhone-Trackings informiert. Demzufolge war dieser – Stand November 2010 – in der Lage, bei einer Synchronisierung mit einem kompromittierten Computer beliebige Informationen zu stehlen. Die Aktivitäten des Besitzers konnte der GCHQ zudem über die Gerätenummer UDID über verschiedene Dienste hinweg tracken.

Mittlerweile hat Apple das UDID-System zugunsten der sogenannten UUID (Universally Unique Identifier) aufgegeben – und zwar zurecht, wie der Bericht des GCHQ zeigt. Der Geheimdienst konnte die UDID bei Synchronisierung mit einem präparierten Desktop-Rechner ebenso auslesen wie über einen Safari-Exploit. Das passierte immer dann, wenn Informationen an das selbst auf Nutzertracking basierende Anzeigennetz AdMob übermittelt wurden. Da die UDID – “offenbar ein SHA-1-Hash aus IMEI, Seriennummer, Bluetooth- und Mac-Adresse” – immer gleichbleibend ist, konnte der GCHQ umfassende Profile erstellen. Als Fazit seines Papiers bedauert er lediglich, aus der UDID nicht auf MAC-Adresse und IMEI schlussfolgern zu können.

Seit Dezember 2013 ist außerdem bekannt, dass der US-Auslandsgeheimdienst NSA in ähnlicher Weise Browser-Cookies für seine Zwecke nutzt. Insbesondere Googles PREF-Cookies beinhalten anstelle von persönlichen Informationen wie Nutzername oder E-Mail-Adresse eine eindeutige ID, um einen Nutzer zu tracken. Die PREF-Cookies stellen eigentlich eine Komponente von Googles Safe-Browsing-Dienst dar, der Anwender vor Malware und Phishing schützen soll. Google zufolge speichern sie aber auch persönliche Einstellungen eines Internetnutzers wie die jeweilige Sprache oder die Zahl der Suchergebnisse.

Dass Apples iPhone nicht immun gegen Malware und Tracking der Geheimdienste ist, war bereits durch frühere Snowden-Dokumente bekannt geworden. Darin ging es um von der NSA verwendete Exploits, die wiederum zur Kompromittierung des Apple-Smartphones eingesetzt wurden. Die Tracking-Methode des GCHQ befasst sich hingegen mit nicht kompromittierten iPhones. Bislang ist jedoch unklar, ob das Ende der UDID das Programm komplett wirkungslos werden ließ.

UDID selbst steht für “Unique Device Identifier”. Allerdings akzeptiert Apple seit Mai 2013 keine Applikationen mehr für seinen App Store, die auf diese Geräte-ID zugreifen wollen. Zudem führte es mit iOS 6 neue APIs ein, die die UDIDs ersetzen sollen. Eine Untersuchung der 550 populärsten iOS-Apps durch das Sicherheitsunternehmen Zscaler hat im Juli 2014 jedoch ergeben, dass 38 Prozent von ihnen weiterhin auf die UDID zugreifen.

Apples aktueller UUID-Ansatz ist theoretisch zwar sicherer, lässt sich aber trotzdem ebenfalls umgehen. Pro App und Gerät ist die UUID einmalig. Wird die App auf dem Gerät gelöscht und später neu installiert, entsteht auch eine neue UUID. So lässt sich das Anwenderverhalten aus mehreren Apps – zumindest in der Theorie – nicht zusammenführen. Laut Zscaler speichern Entwickler die UUID jedoch einfach in der Keychain des Nutzers und retten sie auf diese Weise über die Installation mehrerer Apps hinweg.

Der Spiegel-Bericht vom Wochenende setzt sich im Wesentlichen allerdings mit vorbereitenden Maßnahmen für einen Cyberkrieg durch die NSA-Abteilung Tailored Access Operation (TAO) auseinander. Zu den neun Autoren des Berichts zählt der Spiegel dabei unter anderem Jacob Appelbaum, Andy Müller-Maguhn sowie Laura Poitras.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.