web-dev-qa-db-fra.com

Quelles informations uniques sur les empreintes digitales d'un appareil une application iOS 12 ou iOS 13 peut-elle collecter?

Comme suite à ces questions:

Quelles informations d'empreintes digitales uniques une application iOS7 peut-elle collecter?

Quelles informations uniques sur les empreintes digitales d'un appareil une application iOS8 peut-elle collecter?

Quelles informations uniques sur les empreintes digitales d'un appareil une application iOS9 peut-elle collecter?

Quelles informations d'empreintes digitales uniques une application iOS 10 peut-elle collecter?

Quelles informations uniques sur les empreintes digitales d'un appareil une application iOS 11 peut-elle collecter?

Apple Progress depuis iOS 11:

  • re: Capteurs de mouvement (accéléromètre, gyroscope, magnétomètre): "Sur iOS 12 12.2, Apple a adopté notre suggestion (§VI) et a ajouté du bruit aléatoire aux sorties ADC. Apple a également supprimé l'accès aux détecteurs de mouvement de Mobile Safari par défaut. " SENSORID: empreinte digitale d'étalonnage des capteurs pour les smartphones Il n'est pas clair si Apple a supprimé l'accès aux détecteurs de mouvement de applications ou si les capteurs sont couverts par le paramètre de confidentialité "Motion and Fitness".

  • Dans iOS 12, Apple a introduit des protections contre les empreintes digitales des appareils dans Safari "en partageant uniquement un profil système simplifié ". Cependant, on ne sait pas l'étendue de ces protections, et le mesure dans laquelle ils se reportent aux vues Web de l'application ou à tout autre accès au profil du système d'application.

Autres questions ouvertes:

  • Comme toujours, il existe des informations système de base disponibles similaires à celles auxquelles n'importe quelle page Web peut accéder: adresse IP, en-têtes HTTP, etc. Beaucoup d'entre elles sont à faible entropie ou peuvent être modifiées par l'utilisateur par divers moyens, mais il peut être possible de combiner suffisamment pour une identification raisonnable. Ou pour une corrélation suffisamment raisonnable pour le suivi multi-appareils.

  • Il semble que les applications ne peuvent obtenir des informations améliorées sur un point d'accès Wi-Fi avec un droit spécial de Apple (ce n'est pas clair pour le profane exactement quelles informations). Cependant, il semble y avoir un moyen d'obtenir le nom de réseau du réseau Wi-Fi actuel , ce qui est un problème car il peut permettre le suivi de la localisation et donc également des corrélations avec d'autres personnes ou des endroits sensibles. [Voir MISE À JOUR ci-dessous]

  • Quelles sont les utilisations des magasins de données persistantes par les applications ou par les applications d'un groupe d'applications qui survivent à la suppression de l'application (ou du groupe d'applications)? Existe-t-il des magasins de données persistants qui survivent à l'effacement et à la restauration de l'appareil, auxquels une application peut accéder après la restauration?

Y a-t-il d'autres vecteurs d'empreintes digitales ou des questions ouvertes?

En général, quelles sont les vulnérabilités restantes concernant les empreintes digitales des appareils en matière de confidentialité/sécurité dans iOS 12, en particulier celles qui n'ont pas de paramètres utilisateur ou d'actions utilisateur pouvant les contrecarrer?

[~ # ~] mise à jour [~ # ~] : Comme il est tard dans le cycle de mise à niveau, de nouvelles informations WWDC sur iOS 13:

  • Une autorisation d'accès à la localisation sera nécessaire pour accéder au nom du point d'accès Wi-Fi et à l'adresse MAC (sauf si l'application est l'application VPN ou hotspot actuelle). p.86

  • Le consentement de l'utilisateur est désormais requis pour toutes les API CoreBluetooth, "pour trouver et se connecter aux accessoires Bluetooth et permettre à votre appareil d'être trouvé via Bluetooth". p.4

6
pseudon

Quelles sont les utilisations des magasins de données persistantes par les applications ou par les applications d'un groupe d'applications qui survivent à la suppression de l'application (ou du groupe d'applications)

Si j'ai bien compris la question, on dirait que tous les éléments de porte-clés spécifiques à l'application survivent toujours à la désinstallation de l'application (comme confirmé par Apple Staff retour en décembre 2017 ). Il a changé pendant un certain temps dans iOS 10.3 beta, mais est revenu en arrière par GM et n'a jamais disparu depuis ce temps (je n'ai trouvé aucune preuve du contraire; L'article d'Apple sur l'utilisation du troussea pour les développeurs dit toujours "vous voulez pour supprimer l'élément de mot de passe du trousseau"; il ne dit pas qu'un développeur devrait tout supprimer ni autoriser sa suppression automatique par iOS).

De plus, il ne semble pas exister de moyen pour l'utilisateur final de supprimer ces éléments spécifiques à l'application du trousseau local iOS.

Sur le lien ci-dessus , il y a un e-mail de Apple Relations avec les développeurs pour en savoir plus à ce sujet à partir d'iOS 12/13.

1
wass rubleff