Forensisch expert liet in 2010 al “verborgen” tracking systeem zien in iPhone en iPad

Het verborgen tracking systeem wat in de iPhone zit vanaf iOS 4, gisteren wereldkundig gemaakt door twee onderzoekers van O’Reilly media heeft wereldwijd inmiddels veel ophef veroorzaakt. Via een open source applicatie voor OS X kunnen iPhone gebruikers alle locatiedata zien op een kaartje van de locaties waar je ooit bent geweest met je iPhone. Alex Levinson heeft vorig jaar al onderzoek gedaan naar de opslag van de locatiegegevens maar niemand heeft dat opgepikt. Uit zijn onderzoek blijk dat Apple de gegevens zelf niet gebruikt en de locatiedata ook niet naar de Apple servers stuurt. Juridisch mag dat ook niet want in de Californische wet staat dat het tracken van een persoon via een device verboden is:

(a) No person or entity in this state shall use an electronic tracking device to determine the location or movement of a person.

De gegevens worden gebruikt door apps op de iPhone zoals Maps en de camera, de geolocatie data zijn nodig om de apps goed te laten functioneren. Software ontwikkelaars kunnen hier ook gebruik van maken via een API die je toegang geeft tot de Core Location. Hier is de beschrijving van Apple over  de Core Location framework:

The Core Location framework lets you determine the current location or heading associated with a device. The framework uses the available hardware to determine the user’s position and heading. You use the classes and protocols in this framework to configure and schedule the delivery of location and heading events. You can also use it to define geographic regions and monitor when the user crosses the boundaries of those regions.

Waarom zit dit verbrorgen bestand ineens in iOS 4?

Het verborgen bestand is niet nieuw of verborgen maar is verplaatst. Locatie services zitten al langer in de iPhone en daarvan is een log bestand die de verschillende gegevens opslaat van de radio signalen en sensoren van een iPhone. Nieuw is dat het consolidated.db bestand nu in de  “User Data Partition” van een iPhone staat. Tijdens een backup worden deze gegevens uit de partitie ook opgeslagen in de backup omdat de meeste gebruikersdata in die partitie staat. Voor iOS 4 was het bestand (h-cells.plist) met de locatiegegevens te vinden in de /root/Library/caches/locationd directory maar verborgen. In het bestand staan baseband radio locatiegegevens die vergelijkbaar zijn met het consolidated.db bestand die de onderzoekers van O’Reilly media gisteren lieten zien. Forensische experts maakten al eerder gebruik van de gegevens in dit bestand.

h-cells.plist = Pre iOS 4 / Radio Logs inclusief geolocatie data

consolidated.db = iOS 4+ / Radio logs inclusief geolocatie data

Sinds iOS 4 maakt de iPhone gebruik van Mutlitasking en locatie services die op de achtergrond draaien, Apps kunnen via Apple’s API ook op de achtergrond werken en om gebruik te maken van het log bestand met de locatie gegevens moest het verplaatst worden naar de gebruikers partitie. iPhone gebruikers kunnen de toegang van apps tot deze gegevens ook uitschakelen via het instellingen menu. Op die manier voorkom je dat apps van derden toegang krijgen tot de locatie gegevens.

De onderzoekers van O’Reilly hadden iets beter onderzoek moeten doen want Alex Levinson heeft in 2010 toen de eerste iPad verscheen al forensisch onderzoek gedaan waaruit bleek dat in apps van derden eenvoudig gebruikersnamen, wachtwoorden en communicatie data te achterhalen is via een simpel tekst bestand. In de Apple configuratie logs staat veel communicatie data en de geolocatie data is destijds ook aangetroffen. Leninson heeft diverse lezingen gehouden voor forensische experts en de “geheimen” van het consolidated.db. bestand uit de doeken gedaan. In december 2010 verscheen er zelfs een boek van Levinson waarin alle functies van het consolidated.db bestand staan beschreven.

Helaas blijkt wederom dat wetenschappers minder goed in staat zijn om hun bevindingen wereldkundig te maken dan onderzoekers, maar uiteindelijk is het toch gelukt….

Bron: Alex levinson