Loupe - Yerel iOS uygulamalarının görebildiği cihaz parmak izi yüzeylerini gösteren iOS uygulaması

 (github.com/mysk-research)
1 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Loupe, herkese açık iOS API’lerinden gerçek değerleri okuyup ham haliyle gösteren bir iOS·iPadOS uygulamasıdır; üçüncü taraf uygulamaların çağırabildiği API’ler üzerinden cihazın hangi değerleri açığa çıkardığını doğrudan görmeyi sağlar
  • İsim, e-posta veya konum olmasa bile, birden çok okuma değeri bir araya gelerek uygulamalar ve web siteleri arasında kullanıcıyı yeniden tanıyabilen bir parmak izi oluşturabilir
  • Okuma değerleri, erişim maliyetine göre üç aşamada gruplandırılır
    • Passive: istem olmadan tüm uygulamalara görünen locale, time zone, screen, battery vb.
    • Needs Permission: contacts, photos, location, calendars gibi iOS istemini tetikleyen değerler
    • Advanced: canOpenURL ile URL scheme probing, yeniden yüklemeden sonra da kalan Keychain persistence gibi herkese açık API’lerin yan kanal kullanımları
  • Loupe’un okuduğu değerler, açıkça dışa aktarılmadığı sürece cihazdan çıkmaz; toplama veya hashleme olmadan ham değerler olarak gösterilir ve yüklenmez, senkronize edilmez, paylaşılmaz
  • Derleme için Xcode 26 veya üzeri gerekir; code/Loupe.xcodeproj açılır, Signing.local.xcconfig içinde DEVELOPMENT_TEAM ve bundle identifier doldurulur, ardından cihazda veya simülatörde derlenip çalıştırılır
  • Xcode’un buildable folders özelliği kullanıldığı için yeni Swift dosyaları proje dosyasında değişiklik yapmadan otomatik olarak yansır; macOS için de derlenebilir, ancak Mac sürümünün cilalı hale gelmesi için hâlâ birkaç ek çalışma gerekir
  • Loupe ücretsiz ve açık kaynaklıdır; source code MIT License ile dağıtılır, ancak Loupe adı, logosu, uygulama simgesi, görselleri, ikonları ve tasarım kaynak dosyaları MIT License kapsamında değildir

İlgili okumalar

1 yorum

 
GN⁺ 3 시간 전
Hacker News yorumları

  • Uygulamaların internet erişiminin neden varsayılan olarak engellenip isteğe bağlı izin verilen bir şey olmadığını anlamıyorum
    Veri sızıntısını önlerseniz bu tür zararların çoğunu azaltabilirsiniz ve zaten birçok uygulamanın internete bağlanmasına gerek yok
    Tansiyonumu okumak için neden bir GE hesabı oluşturmam gerektiğini bilmiyorum; en azından onda beni kullandıklarını anlayabiliyorum, ama bu apaçık bir suistimal

    • Uygulamaların %99'u internet erişimi isteyecek ve izin vermezseniz çalışmayacak şekilde tasarlanacak, böylece kullanıcılar düşünmeden izin vermeye alışacak
      Çoğu uygulamanın internete ihtiyaç duyması için meşru sebepler de var; bu yüzden basit bir evet/hayır izninin çok etkili olacağını sanmıyorum
    • Bunun yerine Little Snitch benzeri bir aracın işletim sistemine gömülü olması daha iyi olurdu
      Tüm ağ istekleri, hedef alan adları ve gönderilen veriler için ayrıntılı günlükler göstermesi harika olurdu
    • Çin anakarasında satın alınan iPhone'lar, yani model numarası CH/A ile biten cihazlar, uygulama bazında internet erişim izni ayarı sunuyor
      Seçenekler kapalı, yalnızca WLAN ve WLAN ile hücresel olmak üzere üç tane [0]
      [0] https://old.reddit.com/r/ios/comments/aib10i/in_china_ios_al...
    • AOSP'de ağ erişimi uygulamanın genel bir izni olduğundan, en azından Lineage'da Google Play services gibi uygulamalar dahil herhangi bir uygulamanın ağını kapatabiliyorsunuz
      GrapheneOS'u denemedim, o yüzden bilmiyorum ama Android bunu aslında tamamen destekliyor; çoğu telefon üreticisinin kendi ROM'larında bu yeteneği neden kaldırdığını anlamıyorum
    • GrapheneOS, uygulama kurulum anında herhangi bir uygulamanın internet erişimini kısıtlayabiliyor
      Yine de böyle bir özelliğin her yerde olması gerektiğine katılıyorum

  • Buradaki bazı yorumlara düzeltme: iOS uygulamaları yüklü tüm uygulamaları listeleyemez
    Yalnızca yüklü olup olmadığını kontrol etmek veya açmayı denemek istedikleri belirli uygulama/şemaları LSApplicationQueriesSchemes ile tanımlayıp sorgulayabilirler
    Birbiriyle ilgisiz uygulamalardan oluşan uzun bir liste eklerseniz Apple'ın uygulama incelemesinden ret yersiniz
    Apple bu kısıtlamayı, yüklü uygulama listesinin parmak izi çıkarma ve mahremiyeti ihlal eden profilleme için kullanılabilmesi nedeniyle ekledi

    • Yine de tek bir uygulama en fazla 50 uygulamanın varlığını sorgulayabiliyor değil mi?
      Veri brokerları veya toplayıcılar da binlerce uygulamadan bu verileri satın alıp birleştirerek tekrar satabilir
    • Büyük bir listeye gerek olmayabilir
      Yalnızca çok ayırt edici küçük bir liste bile, sızmış diğer verilerle birleştirildiğinde bir kişiyi benzersiz şekilde tanımlamaya yetecek kadar ek entropi sağlayabilir
    • Bir uygulamanın telefonumda yüklü diğer uygulamaların varlığını bilebiliyor olması başlı başına ürkütücü
      Bunun listesini nerede görebilirim?
    • Apple engellemeden önce Facebook bunu büyük ölçekte kötüye kullanıyordu

  • “iPhone last setup or erased on ...” bilgisi gerçekten çok kötü
    Kullanıcı bununla fiilen ne yapabilir ki? İşletim sisteminin bu değeri bir şekilde bulanıklaştırması gerekiyor gibi görünüyor

    • Genel olarak iPhone, yüklü uygulamalardan gelen parmak izi takibini önleme düşünülerek tasarlanmamış gibi duruyor
      Tek korunma yöntemi uygulama kurmaktan kaçınmak ve mümkün olduğunda web tarayıcısı kullanmak
    • Belki ben çok anlayışsızım ama işletim sisteminin neden böyle bir bilgiyi uygulamalara verdiğini anlamıyorum
    • Tehdit modeli, birden fazla uygulama arasında kullanıcının davranışlarını korelasyonla takip etmekse, tek bir uygulamadan bakıldığında değer bulanıklaştırması fark edilmeyebilir

  • Birim oluşturulma tarihi oldukça ciddi
    Bu değerin ve Pasteboard changeCount'un bu kadar ayrıntılı olmasını gerektiren bir neden göremiyorum
    “Installed Apps Probe” sızıntısı da şaşırtıcıydı ama yine de Android'in mevcut durumundan daha iyi

    • Graphene bu konuda çok daha ileride
    • Pasteboard sayacı, uygulamaların arabellekteki aynı öğeyi tekrar tekrar sormasını önlemeye yardımcı olmak için var
      Ayrıca bunun her gün sıfırlanmasını engelleyen bir şey de yok

  • Harika
    Böyle şeyler, görsel olarak fark ettiren araçlara ne kadar ihtiyaç duyulduğunu gerçekten gösteriyor
    Web için benzer bir şey yaptım: https://neberej.github.io/exposedbydefault/
    Github: https://github.com/neberej/exposedbydefault

  • iPhone'u olmayan veya uygulama yüklemek istemeyenler demoyu burada görebilir
    Aynı videonun farklı platformlardaki sürümleri
    https://odysee.com/@techlore:3/permission-not-required-the-o...
    https://www.youtube.com/watch?v=_n_SpEWtqog
    https://inv.nadeko.net/watch?v=_n_SpEWtqog
    https://techlore.tv/w/d7dh4P7y4dVngNoL7u7s3B

  • Rastgele bir uygulamanın, hiçbir özel izin verilmemişken neden bu kadar çok bilgiye erişebildiğini ve Apple'ın neden bu önemli bilgileri kullanıcıya göstermediğini anlamıyorum
    Apple, kategori ve uygulama bazında izin verilip engellenebilecek uzun bir onay kutusu listesi yapamaz mı?
    Örneğin, hiçbir izin vermediğim bir uygulamanın cihazda yüklü tüm uygulamaların listesini anında elde edebildiğini ve yalnızca Tinder/Bumble/Hinge varlığına bakarak birinin flört edip etmediğini, hatta aldattığını bile çıkarabileceğini bilmiyordum
    Sadece bu bile, kötü niyetli aktörlerin “partneriniz sizi aldatıyor mu kontrol edin” gibi bir hizmeti 10 dolara satarak olasılıksal yanıtlar üzerinden para kazanmasını mümkün kılıyor gibi görünüyor

    • Bu aptalca bir fikir
      Böyle bir “partneriniz sizi aldatıyor mu kontrol edin” uygulamasını karşı tarafın telefonuna nasıl kurduracaksınız ki?
    • Böyle bir uygulama mağdurun cihazına nasıl kurulup diğer uygulamaları tespit edebilir?

  • Android telefonlarda buna benzer bir şey zaten var mı?

  • Bugün artık sadece kişisel verilerimi paylaşmamaya çalışma işinden vazgeçtim
    Onun yerine tüm reklamları engelliyorum ve reklam engelleme olmadan kullanılamayan uygulama ve web sitelerini kullanmıyorum
    En sevdiğim dondurma aroması gibi ayrıntılara kadar benim hakkımda çok şey biliyor olabilirler ama ben hiç reklam görmediğim için bunu çok önemsemiyorum
    Elbette kimsenin bu bilgilere sahip olmaması daha iyi olurdu ama böyle berbat bir toplumda pratik davranmak zorundayım

  • Bu yüzden uygulama kurmaktan kaçınıyorum ve çok fazla uygulama yüklü tutmuyorum

    • Sahip olduğum bir cebimdeki bilgisayara sahip olmak daha iyi olmaz mı?