Loupe - app de iOS que muestra la superficie de huella digital del dispositivo visible para apps nativas de iOS

 (github.com/mysk-research)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Loupe es una app para iOS y iPadOS que lee valores reales desde APIs públicas de iOS y los muestra en formato bruto, permitiendo verificar directamente los valores que el dispositivo expone a través de APIs que apps de terceros pueden llamar
  • Incluso sin nombre, correo electrónico ni ubicación, varios valores leídos pueden combinarse para formar una huella digital que permita volver a reconocer al usuario a través de apps y sitios web
  • Los valores leídos se agrupan en tres niveles según el costo de acceso
    • Passive: locale, zona horaria, pantalla, batería y otros datos visibles para todas las apps sin mostrar avisos
    • Needs Permission: valores como contactos, fotos, ubicación y calendarios que activan los avisos de iOS
    • Advanced: uso de canales laterales de APIs públicas, como el probing de esquemas URL mediante canOpenURL y la persistencia de Keychain que permanece incluso después de reinstalar
  • Los valores que Loupe lee no salen del dispositivo a menos que se exporten explícitamente; se muestran como valores brutos, sin agregación ni hashing, y no se suben, sincronizan ni comparten
  • Para compilar se requiere Xcode 26 o superior; abre code/Loupe.xcodeproj, completa DEVELOPMENT_TEAM y el bundle identifier en Signing.local.xcconfig, y luego compila y ejecuta en un dispositivo o simulador
  • Usa las buildable folders de Xcode para que los nuevos archivos Swift se reflejen automáticamente sin modificar el archivo del proyecto; también puede compilarse para macOS, pero la versión para Mac aún necesita algo más de trabajo antes de estar pulida
  • Loupe es software libre y gratuito; el source code se distribuye bajo licencia MIT, pero el nombre Loupe, el logo, el ícono de la app, las imágenes, los íconos y los archivos fuente de diseño no están cubiertos por la licencia MIT

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios de Hacker News

  • No entiendo por qué el acceso a Internet de una app no está bloqueado por defecto y solo se permite de forma opcional
    Si se evitara la exfiltración de datos, se reduciría la mayor parte de este daño, y muchas apps ni siquiera necesitan conectarse a Internet
    No sé por qué tengo que crear una cuenta de GE para leer mi presión arterial, y al menos ahí sé que me están usando, pero esto es claramente un abuso

    • El 99% de las apps van a pedir acceso a Internet, y si no lo permites dejarán de funcionar, así que los usuarios terminarán aceptándolo por costumbre
      La mayoría de las apps sí tienen una razón legítima para necesitar Internet, así que no creo que un simple permiso de sí/no vaya a ayudar mucho
    • Más bien deberían integrar al sistema operativo una herramienta como Little Snitch
      Estaría bien ver un registro detallado de todas las solicitudes de red, los dominios de destino y los datos transmitidos
    • Los iPhone comprados en China continental, es decir, los dispositivos cuyo número de modelo termina en CH/A, sí ofrecen una configuración de permiso de acceso a Internet por app
      Las opciones son desactivado, solo WLAN, y WLAN y datos celulares [0]
      [0] https://old.reddit.com/r/ios/comments/aib10i/in_china_ios_al...
    • En AOSP la red es un permiso general de la app, así que al menos en Lineage puedes desactivar la red para cualquier app, incluidas apps como Google Play services
      No he usado GrapheneOS, así que no lo sé, pero Android como tal sí lo soporta por completo; no entiendo por qué la mayoría de los fabricantes eliminan ese permiso en sus ROM
    • GrapheneOS permite restringir el acceso a Internet de cualquier app al momento de instalarla
      Aun así, coincido en que esta función debería existir en todas partes

  • Una corrección a algunos comentarios aquí: las apps de iOS no pueden enumerar todas las apps instaladas
    Solo pueden consultar apps o esquemas específicos que quieran verificar o abrir, indicándolos en LSApplicationQueriesSchemes
    Si incluyes una lista larga de apps no relacionadas entre sí, la revisión de apps de Apple la rechaza
    Apple agregó esta restricción porque la lista de apps instaladas puede usarse para fingerprinting y perfilado invasivo de la privacidad

    • ¿Pero no puede una sola app pedir la existencia de hasta 50 apps?
      Y luego los data brokers o agregadores podrían comprar esos datos de miles de apps, combinarlos y revenderlos
    • No creo que necesite ser una lista grande
      Incluso una lista pequeña pero muy distintiva puede aportar suficiente entropía adicional como para identificar de forma única a una persona al combinarla con otros datos filtrados
    • Da miedo el simple hecho de que una app pueda saber si hay otras apps instaladas en mi teléfono
      ¿Dónde se puede ver esa lista?
    • Antes de que Apple lo bloqueara, Facebook abusó de esto a gran escala

  • La información de “iPhone last setup or erased on ...” es realmente perversa
    ¿Qué puede hacer realmente un usuario con eso? Parece que el sistema operativo debería ofuscar ese valor de alguna manera

    • En general, no parece que el iPhone haya sido diseñado pensando en evitar el fingerprinting por parte de las apps instaladas
      La única protección es evitar instalar apps y usar el navegador web cuando sea posible
    • Puede que yo esté muy lento, pero no entiendo por qué el sistema operativo entrega ese tipo de información a las apps
    • Si el modelo de amenaza es rastrear al usuario correlacionando su comportamiento entre varias apps, entonces la ofuscación del valor no se notaría al mirar una sola app

  • La fecha de creación del volumen es bastante seria
    No veo por qué ese valor, ni el changeCount del Pasteboard, tendrían que ser tan precisos
    La filtración de “Installed Apps Probe” también me sorprendió, pero aun así está mejor que el estado actual de Android

    • Graphene va mucho más adelantado en esto
    • El contador de Pasteboard existe para ayudar a que una app no vuelva a preguntar por el mismo elemento del portapapeles
      Y tampoco hay nada que impida reiniciarlo todos los días

  • Excelente
    Cosas así me hacen ver visualmente lo necesarios que son este tipo de herramientas
    Hice algo parecido para la web: https://neberej.github.io/exposedbydefault/
    Github: https://github.com/neberej/exposedbydefault

  • Quienes no tengan iPhone o no quieran instalar la app pueden ver una demo aquí
    Son versiones de la misma presentación en distintas plataformas
    https://odysee.com/@techlore:3/permission-not-required-the-o...
    https://www.youtube.com/watch?v=_n_SpEWtqog
    https://inv.nadeko.net/watch?v=_n_SpEWtqog
    https://techlore.tv/w/d7dh4P7y4dVngNoL7u7s3B

  • No entiendo por qué una app cualquiera, sin permisos especiales, puede acceder a tanta información, ni por qué Apple no informa a los usuarios sobre algo tan importante
    ¿No podría Apple hacer una larga lista de casillas para permitir o bloquear por categoría y por app?
    Por ejemplo, no sabía que una app a la que no le das ningún permiso podía obtener de inmediato la lista completa de apps instaladas en el dispositivo, e inferir por la presencia de Tinder/Bumble/Hinge si alguien está saliendo con alguien o incluso si está engañando a su pareja
    Solo con eso ya parece posible monetizarlo: un actor sin escrúpulos podría cobrar $10 por un servicio tipo “averigua si tu pareja te engaña” y vender respuestas probabilísticas

    • Es una idea tonta
      ¿Cómo se supone que vas a lograr que una app de “averigua si tu pareja te engaña” se instale en el teléfono de la otra persona?
    • ¿Cómo podría instalarse una app así en el dispositivo de la víctima para detectar otras apps?

  • ¿Ya existe algo parecido para teléfonos Android?

  • Hoy simplemente renuncié a intentar no compartir mis datos personales
    En cambio, bloqueo toda la publicidad, y no uso apps o sitios web que no se pueden usar sin bloqueador de anuncios
    Puede que tengan muchos detalles sobre mí, hasta cosas como mi sabor de helado favorito, pero como no veo anuncios en absoluto, no me preocupa demasiado
    Claro que sería mejor que nadie tuviera esa información, pero en una sociedad tan horrible solo queda ser práctico

  • Por eso evito instalar apps y no tengo muchas

    • ¿No sería mejor tener una computadora de bolsillo que de verdad sea mía?