Loupe - aplikasi iOS yang menunjukkan permukaan fingerprinting perangkat yang dapat dilihat aplikasi iOS native

 (github.com/mysk-research)
1 poin oleh GN⁺ 3 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Loupe adalah aplikasi iOS·iPadOS yang membaca nilai nyata dari API iOS publik dan menampilkannya dalam bentuk mentah, sehingga Anda bisa langsung memeriksa nilai yang diekspos perangkat melalui API yang dapat dipanggil aplikasi pihak ketiga
  • Bahkan tanpa nama, email, atau lokasi, banyak nilai bacaan dapat digabungkan untuk membentuk fingerprint yang memungkinkan pengguna dikenali kembali di berbagai aplikasi dan situs web
  • Nilai bacaan dikelompokkan ke dalam tiga tahap berdasarkan biaya akses
    • Passive: locale, time zone, screen, battery, dan lainnya yang terlihat oleh semua aplikasi tanpa prompt
    • Needs Permission: nilai seperti contacts, photos, location, dan calendars yang memicu prompt iOS
    • Advanced: penggunaan side channel dari API publik seperti URL-scheme probing melalui canOpenURL dan persistensi Keychain yang tetap ada bahkan setelah instal ulang
  • Nilai yang dibaca Loupe tidak meninggalkan perangkat kecuali diekspor secara eksplisit, ditampilkan sebagai nilai mentah tanpa agregasi atau hashing, dan tidak diunggah, disinkronkan, atau dibagikan
  • Build memerlukan Xcode 26 atau lebih baru; buka code/Loupe.xcodeproj, isi DEVELOPMENT_TEAM dan bundle identifier di Signing.local.xcconfig, lalu build dan jalankan di perangkat atau simulator
  • Dengan menggunakan buildable folders milik Xcode, file Swift baru akan otomatis tercermin tanpa perlu mengubah file proyek; aplikasi ini juga bisa dibangun untuk macOS, tetapi versi Mac masih memerlukan beberapa pekerjaan tambahan sebelum benar-benar polished
  • Loupe adalah open source gratis, dan source code didistribusikan di bawah MIT License, tetapi nama Loupe, logo, ikon aplikasi, gambar, ikon, dan file sumber desain tidak termasuk dalam cakupan MIT License

Bacaan terkait

1 komentar

 
GN⁺ 3 jam lalu
Komentar Hacker News

  • Saya tidak paham kenapa akses internet aplikasi tidak diblokir secara default lalu diizinkan secara selektif
    Mencegah kebocoran data akan mengurangi sebagian besar kerugian seperti ini, dan sejak awal banyak aplikasi tidak perlu terhubung ke internet
    Saya tidak tahu kenapa saya harus membuat akun GE hanya untuk membaca tekanan darah, dan setidaknya dalam kasus itu saya masih bisa tahu bahwa mereka sedang memanfaatkan saya, sedangkan yang ini jelas merupakan penyalahgunaan

    • 99% aplikasi akan meminta akses internet, dan jika tidak diizinkan akan dibuat tidak bisa berjalan, sehingga pengguna akan jadi kebal dan asal mengizinkan
      Sebagian besar aplikasi memang punya alasan yang sah untuk membutuhkan akses internet, jadi saya rasa izin ya/tidak yang sederhana tidak akan terlalu efektif
    • Lebih baik alat seperti Little Snitch dibangun langsung ke sistem operasi
      Akan bagus jika ada log detail untuk semua permintaan jaringan, domain tujuan, dan data yang dikirim
    • iPhone yang dibeli di Tiongkok daratan, yaitu perangkat dengan nomor model yang berakhiran CH/A, menyediakan pengaturan izin akses internet per aplikasi
      Opsinya adalah mati, hanya WLAN, dan WLAN serta seluler [0]
      [0] https://old.reddit.com/r/ios/comments/aib10i/in_china_ios_al...
    • Di AOSP, jaringan adalah izin umum aplikasi, jadi setidaknya di Lineage, jaringan bisa dimatikan untuk aplikasi apa pun termasuk aplikasi seperti Google Play services
      Saya belum pernah memakai GrapheneOS jadi tidak tahu, tetapi Android sendiri sepenuhnya mendukung ini, dan saya tidak mengerti kenapa sebagian besar produsen ponsel menghapus izin ini dari ROM mereka
    • GrapheneOS memungkinkan pembatasan akses internet untuk aplikasi apa pun saat pemasangan
      Tapi saya setuju fitur seperti ini seharusnya ada di mana-mana

  • Koreksi untuk beberapa komentar di sini: aplikasi iOS tidak bisa mencantumkan semua aplikasi yang terpasang
    Aplikasi hanya bisa menentukan aplikasi/skema tertentu yang ingin diperiksa apakah terpasang atau ingin dibuka melalui LSApplicationQueriesSchemes
    Jika memasukkan daftar panjang aplikasi yang tidak saling berkaitan, aplikasi akan ditolak dalam proses review Apple
    Apple menambahkan pembatasan ini karena daftar aplikasi terpasang bisa dipakai untuk fingerprinting dan profiling yang invasif terhadap privasi

    • Tapi bukankah satu aplikasi tetap bisa meminta keberadaan hingga 50 aplikasi?
      Dan data itu bisa dibeli, digabungkan, lalu dijual lagi oleh data broker atau agregator dari ribuan aplikasi
    • Sepertinya tidak perlu daftar yang besar
      Daftar kecil yang sangat diskriminatif saja bisa memberi entropi tambahan yang cukup untuk mengidentifikasi seseorang secara unik bila digabungkan dengan data bocor lainnya
    • Fakta bahwa sebuah aplikasi bisa mengetahui keberadaan aplikasi lain di ponsel saya itu sendiri menakutkan
      Di mana saya bisa melihat daftar itu?
    • Sebelum Apple memblokirnya, Facebook menyalahgunakan ini dalam skala besar

  • Informasi “iPhone last setup or erased on ...” benar-benar busuk
    Apa yang sebenarnya bisa dilakukan pengguna terhadap ini? Rasanya sistem operasi harus mengaburkan nilai ini entah bagaimana

    • Secara umum, iPhone tampaknya tidak dirancang dengan mempertimbangkan pencegahan fingerprinting dari aplikasi yang terpasang
      Satu-satunya perlindungan adalah menghindari pemasangan aplikasi dan memakai browser web bila memungkinkan
    • Mungkin saya yang terlalu lambat menangkapnya, tetapi saya tidak mengerti kenapa sistem operasi memberikan informasi seperti ini kepada aplikasi
    • Jika model ancamannya adalah pelacakan dengan mengorelasikan perilaku pengguna lintas banyak aplikasi, pengaburan nilai tidak akan terlihat jika hanya dilihat dari satu aplikasi saja

  • Tanggal pembuatan volume cukup serius
    Saya tidak melihat alasan kenapa nilai ini dan changeCount Pasteboard harus sedetail itu
    Kebocoran “Installed Apps Probe” juga mengejutkan, tetapi tetap lebih baik daripada keadaan Android saat ini

    • Graphene jauh lebih maju dalam hal ini
    • Penghitung Pasteboard ada agar aplikasi tidak menanyakan lagi item yang sama di buffer
      Dan juga tidak ada yang mencegahnya untuk di-reset setiap hari

  • Bagus sekali
    Hal seperti ini benar-benar menunjukkan betapa perlunya alat yang membantu kita menyadarinya secara visual
    Saya membuat sesuatu yang mirip untuk web: https://neberej.github.io/exposedbydefault/
    Github: https://github.com/neberej/exposedbydefault

  • Bagi yang tidak punya iPhone atau tidak ingin memasang aplikasinya, demo bisa dilihat di sini
    Ini versi platform lain dari video yang sama
    https://odysee.com/@techlore:3/permission-not-required-the-o...
    https://www.youtube.com/watch?v=_n_SpEWtqog
    https://inv.nadeko.net/watch?v=_n_SpEWtqog
    https://techlore.tv/w/d7dh4P7y4dVngNoL7u7s3B

  • Saya tidak mengerti kenapa aplikasi acak yang tidak diberi izin khusus bisa mengakses informasi sebanyak ini, dan kenapa Apple tidak memberi tahu pengguna tentang informasi penting ini
    Apakah Apple tidak bisa membuat daftar checkbox yang panjang untuk mengizinkan/memblokir per kategori atau per aplikasi?
    Misalnya saya tidak tahu bahwa aplikasi yang tidak diberi izin apa pun bisa langsung memiliki daftar semua aplikasi yang terpasang di perangkat, lalu dari keberadaan Tinder/Bumble/Hinge saja bisa menyimpulkan apakah seseorang sedang berkencan, bahkan mungkin berselingkuh
    Hanya dari ini saja tampaknya pelaku yang tidak bermoral bisa memonetisasinya, misalnya menjual layanan seharga $10 dengan jawaban probabilistik seperti “cek apakah pasangan Anda selingkuh”

    • Ide yang bodoh
      Bagaimana tepatnya Anda akan membuat aplikasi “cek apakah pasangan Anda selingkuh” seperti itu terpasang di ponsel orang lain?
    • Bagaimana aplikasi seperti itu bisa dipasang di perangkat korban untuk mendeteksi aplikasi lain?

  • Apakah sudah ada hal serupa untuk ponsel Android?

  • Hari ini saya menyerah saja untuk mencoba tidak membagikan informasi pribadi
    Sebagai gantinya saya memblokir semua iklan, dan tidak memakai aplikasi/situs web yang tidak bisa dipakai tanpa pemblokir iklan
    Mereka mungkin punya banyak detail tentang saya sampai ke hal seperti rasa es krim favorit saya, tetapi karena saya sama sekali tidak melihat iklan, saya tidak terlalu peduli
    Tentu lebih baik jika tidak ada yang memiliki informasi seperti ini, tetapi dalam masyarakat yang buruk seperti ini kita terpaksa bersikap praktis

  • Karena itu saya menghindari memasang aplikasi dan tidak menyimpan terlalu banyak

    • Bukankah lebih baik punya komputer saku yang benar-benar saya miliki?