Uber: iPhone-Fingerprinting flog auf – Rüffel vom Apple-Chef | Mac & i
▻https://www.heise.de/mac-and-i/meldung/Uber-iPhone-Fingerprinting-flog-auf-Rueffel-vom-Apple-Chef-3691517.html
24.04.2017
Die App des Fahrdienstes hat auf eine Fingerprinting-Technik gesetzt, um einzelne iPhones trotz Löschens der App weiter identifizieren zu können. Ein Geofence sollte sicherstellen, dass Apple-Mitarbeiter das regelwidrige Verhalten nicht entdecken.
Uber hat Apple vor über zwei Jahren ausgetrickst, um einzelne iPhones permanent zu identifizieren: Eine Fingerprinting-Technik sollte sicherstellen, dass sich die Smartphones auch nach Deinstallation der App und dem Löschen des Gerätes weiter einzeln erkennen lassen, wie die New York Times berichtet. Ein Geofence um Apples Firmenzentrale im kalifornischen Cupertino habe die verwendete Technik zudem vor den Mitarbeitern und App-Store-Prüfern des iPhone-Konzerns verbergen sollen – das Fingerprinting sei aber letztlich dennoch aufgeflogen.
Rauswurf aus dem App Store angedroht
Apple-Chef Tim Cook hat deshalb dem Bericht zufolge Uber-CEO Travis Kalanick Anfang 2015 einbestellt und damit gedroht, die Uber-App wegen des Verstoßes gegen die App-Richtlinien aus dem App Store zu werfen – Kalanick habe sich gefügt. Die Zeitung schrieb ursprünglich, Uber habe die iPhones auch nach der Deinstallation der App “getrackt”, die Passage wurde inzwischen aber in “identifiziert und getaggt” korrigiert.
Der Fahrdienst Uber ist bekannt für seine aggressiven Praktiken.
Welche Technik zur permanenten Identifikation einzelner Geräte eingesetzt wurde, bleibt unklar – vermutlich kamen private Frameworks in iOS zum Einsatz, die Apps von Dritt-Entwicklern nicht nutzen dürfen. Apple versucht seit längerem, verschiedene Methoden zu unterbinden, um Geräte eindeutig zu identifizieren: Den Unique Device Identifier (UDID) – ein feste Hardware-ID – dürfen Apps schon seit Jahren nicht mehr nutzen.
Uber setzt weiterhin auf Fingerprinting
Laut Uber sollte das Fingerprinting Betrugsfälle verhindern: Mit einem gestohlenen iPhone und geklauten Kreditkartendaten hätten Betrüger teure Uber-Fahrten gebucht und das Gerät anschließend gelöscht und neu aufgesetzt, um die Masche erneut vorzunehmen. Auch dem Klau von Benutzer-Accounts solle dies vorbeugen. Man setze deshalb weiterhin eine Art von Geräte-Fingerprinting ein, erklärte ein Uber-Sprecher gegenüber Techcrunch.
Anfang des Jahres wurde bekannt, dass Uber die mit der App erfassten Metadaten auch verwendet hat, um etwa Polizisten und andere Beamte zu erkennen, die gegen illegale Uber-Dienste vorgehen könnten. In jenen Städten, in denen Uber-Chauffeure ohne Genehmigung tätig sind, werden die Ordnungshüter dann nicht von Uber befördert, hieß es.
[Update 24.04.2017 13:30 Uhr] Die alte Uber-App habe wohl mit Hilfe eines privaten Frameworks die Seriennummer des iPhones ausgelesen, erklärt der Sicherheitsforscher Will Strafach auf Twitter. Uber konnte dann bei erneuter Installation feststellen, ob die App zuvor bereits schonmal auf diesem Gerät verwendet wurde. Ein derartiger Zugriff von Apps auf die Seriennummer sei von Apple entweder mit iOS 8 oder iOS 9 unterbunden worden, so Strafach.
