Mobiler kan visa din position för andra


Den 4 mars rapporterade Epoch Times att Peking ska övervaka medborgarnas position via deras mobiltelefoner med hjälp av data från Mobile Limiteds 17 miljoner mobiltelefoner. Wang Lin skrev om sin oro över den personliga integriteten.

Den 18 mars rapporterade engelska Epoch Times om hur Kryptos-appen till iPhone och Android, gör att man på ett säkert sätt kan dela information mellan smartphones genom att skicka signalen genom trådlöst 3G, 4G eller WiFi-nätverk istället för att använda en server. Detta hindrar effektivt brottslingar från att sätta upp så kallat “fejkat torn” för att stjäla den data som skickas. Äldre GSM- och 2G-telefoner har ännu större säkerhetsluckor, vilket bevisades av Chris Paget som med en bärbar dator och en hemmagjord tiotusenkronorsapparat kunde övervaka 30 mobiltelefoner genom en så kallad “International Mobile Subscriber Identity”-fångare.

Den skyddande Kryptos-appen betalas månadsvis och kan laddas ner i iPhone och Android och snart också i Blackberry.

Efter att Alasdair Allan och Pete Warden i en artikel i datatidskriften O’Reilly Radar förra onsdagen skrev att de ville “upplysa om upptäckten” att en gömd fil i iPhone och 3G iPad visar information om var användaren befinner sig har det rapporterats flitigt dagstidningar i Sverige och utomlands.

Allan och Warden skriver att “det värsta är att filen är okrypterad och oskyddad och hamnar på alla maskiner du har synkat med din iOS-apparat”. Filen dit data skickas från en iPhone heter “consolidated.db”. Den innehåller latitud- och longitudkoordinater tillsammans med en tidstämpel. Denna ska också ha lagrat data sedan operativsystemet iOS4 började köras och kan spåra alla rörelser sedan ett år tillbaka. Alasdair och Pete har också byggt en app på petewarden.github.com/iPhoneTracker där vem som helst kan ladda ner och se sina egna rörelser. Detta innebär att vem som helst som har fått tag i någon annans iPhone eller iPad att se dennes rörelser.

I slutet av artikeln tipsar författarna om att “klicka på din apparat inne i iTunes och klicka sedan på Kryptera säkerhetskopia för iPhone på Alternativ. Ta också bort den gamla filen från din dator. Detta är för att förhindra att någon hackar in i din dator och söker efter db-filen, som kan avslöja mycket om användaren. Det ska också gå att ladda ner “find my iphone” appen och manuellt radera allt innehåll, så inte datan går att använda.

På datasäkerhetsföretaget F-secures blogg skriver Mikko Hypponen om cache-filen som går att hitta på Library/Caches/locationd/consolidated.db, att den inte kan nås av tredje part, men den kopieras till datorn när man synkar sin iPhone. Han skriver att filen troligtvis är relaterad till Apple’s globala platsdatabas. Google och Apple har globala platsdatabaser med platser för Wifi trådlösa nätverk utmärkta, som används för att hitta dig även utan GPS. Dessa skickar information om din plats till företaget. Vidare förklarar han att Google fick sin globala platsdatabas genom att skriva ner koordinaterna på alla platser de besökte när de hade sina Google Map Streetview bilar körandes över hela världen. Apple fick sitt koordinatnät genom en dyr licens från Skyhook, som också använde bilar, men nu kanske de använder data från consolidated.db istället. Om du har en modern iPhone så skickas din plats till Apple två gånger per dag. I slutet av bloggen skriver han varför Apple kan göra detta: När du installerar iTunes och den frågar om du vill skicka diagnostikinformation till Apple så säger den ingenting om att läsa av din position, men läser man Apple’s Privacy Policy så står det att Apple och dess partners kan samla, använda och dela med sig precisa platsdata anonymt som inte identifierar användaren.

Alex Levinson säger på sin blogg att han för länge sedan upptäckte den här filen och skrev om den i boken “iOS Forensic Analysis for iPhone, iPad and iPod touch”, som publicerades den 5 december 2010. I kapitel 10 ”Network Forensics” förklaras utförligt detaljerna om consolidated.db. Levinson motsätter inte vad Warden och Allan hade skrivit eller presenterat, men han tycker “det är ett problem när de gör uttalande med fel och inte citerar tidigare publicerat dokument. Jag är för kreativ forskning och utveckling så länge den är uppriktig.” Allan och Warden svarade på kritiken i torsdags att de personligen vill säga förlåt till honom och förklarar att de inte kunde hitta den informationen när de sökte igenom tidigare forskning.

Tom Krazit skrev den 29 Juni 2010 att Googles mobilappar tar in WiFi-platsdata på samma sätt som iPhones gör. Det är därför Google har slutat använda sina gatuvybilar, eftersom de som använder deras produkter istället lägger ut platserna genom att varje gång de använder applikationerna skickar de sin platsdata och utvidgar därmed platsdata. Därtill har användare av bärbara datorer samma problem när de använder webbprogrammeringsspråket HTML5 i till exempel webbläsaren Firefox 3.5 när de använder vissa tjänster såsom Twitter eller Firefox geografiska tjänster.

Vad ska man då välja om man värderar den personliga integriteten högt? Smartphones är betydligt säkrare än GSM och 2G. Om man litar på att Google förvarar sin data säkert så ska man kunna fortsätta använda de tjänsterna, men har man en iPhone ska man se till att ha uppsikt över var man lägger sin telefon eller vem man ger den till.