Guymon

iOS 5 ohne UDID Drittanbieter

Das klingt doch sinnvoll:

Apple schränkt damit für Drittentwickler die Verwendung für die sogenannte UDID, eine individuelle Identifikationsnummer des persönlichen Gerätes, ein. Werbetreibende vollziehen so beispielsweise Nutzeraktivitäten nach. Aber auch App-Store-Programme verwenden diese einzigartige 40-stellige Zeichenkette zur Identifikation um beispielsweise zu erkennen, wenn Anwender eine Software benutzen, löschen und danach wieder neu installieren.

Entwickler sind dazu aufgefordert eine eigene Nummer (beziehungsweise ein individuelles Hashwert-System) zu verwenden (…) Aus Sicht des Nutzers wäre die Neuerung ein zusätzlicher Schutz der Privatsphäre.

Im September 2010 zeigte eine Uni-Studie, dass 68-Prozent der iPhone-Programme aus den ‘Top-Charts’ die UDID übermittelten.

Respawning Cookies

Ashkan Soltani erklärt die technischen Hintergründe von schwer zu löschenden Cookies.

What differentiates KISSmetrics apart from Hulu with regards to respawning is, in addition to Flash and HTML5 LocalStorage, KISSmetrics was exploiting the browser cache to store persistent identifiers via stored Javascript and ETags. ETags are tokens presented by a user’s browser to a remote webserver in order to determine whether a given resource (such as an image) has changed since the last time it was fetched. Rather than simply using it for version control, we found KISSmetrics returning ETag values that reliably matched the unique values in their ‘km_ai’ user cookies.

(…)

As explained above, KISSmetrics uses the same identifier for consumers across the different websites it serves. In addition to data enhancement, this practice may be problematic because it enables KISSmetrics to uniquely track individuals across sites they visit. This makes KISSmetrics’ position more similar to a network advertiser than an analytics provider.

Weitere Sicherheitslücke beim elektronischen Personalausweis

Und noch eine Sicherheitslücke im ePerso:

Der mehrstufige Angriff beginnt mit dem Exploit, den Schejbal bereits im Januar beschrieben hatte: Das Opfer wird auf eine Phishing-Seite gelockt, die ihm einen Dienst mit eID-Funktion vorgaukelt und dazu eine Kopie der AusweisApp in JavaScript präsentiert. Gibt er dort seine PIN ein, landet diese beim Angreifer.

Durch das Plug-in lässt sich der ePerso über das Netzwerk fernsteuern. Vergrößern In der nächsten Stufe nutzt der Angreifer die Möglichkeit des OWOK-Plug-ins, per JavaScript einen Kanal zur Chipkarte zu öffnen. Darüber kann er beliebige APDUs (Application Protocol Data Units) an die Karte schicken und die Antworten lesen. Schejbal hat dazu einen Proof of Concept entwickelt, den wir in der c’t-Redaktion nachvollziehen konnten. Über das Netzwerk war es möglich, über eine modifizierte Cyberflex-Shell Kommandos an den ePerso an einem anderen PC zu senden

Google+ Nutzerdaten

Selbstverständlich will Google mit Google+ auch Geld verdienen:

Intern firmiere das Projekt unter dem Kürzel “DDP”, so berichtet es das amerikanische Fachmagazin AdAge. Konkret geht es dabei um eine Dienstleistung für die Werbeindustrie: Künftig sollen Werber bei Google Daten von Verbrauchern kaufen können, mit Name, Adresse und, vor allem, nach Interessen sortiert.

Datengier in Sachsen

Die Dresdner Datengier liefert einen präzisen Vorgeschmack auf das, was zum Alltag in Ermittlungsbehörden wird, falls der politische Zombie Vorratsdatenspeicherung wiederaufersteht, wie es CDU und SPD weiterhin ohne kriminologisch glaubwürdige Begründung fordern. Die Versprechen und Beteuerungen, dass es doch nur um wenige Schwerstkriminelle ginge, klingen im Angesicht der Massenerfassung der Teilnehmer einer politischen Demonstration wie hohle Notlügen.

Constanze Kurz zieht in der FAZ .