Outgoing / Incoming Traffic in iOS kontrollieren / konfigurieren

[McBuk]

Was bei iOS rein- oder rausgeht, weiß man ja nicht wirklich. Wie ich bisher mitbekommen habe, gibt es für iOS (egal ob mit iPad oder iPhone) auch keine integrierte oder integrierbare Möglichkeit, den Datenverkehr transparent zu kontrollieren und nach eigenen Wünschen zu konfigurieren. Es sei denn, man macht einen Jailbreak.

Router bieten zwar die Möglichkeit, den Betrieb zu loggen. Aber die Aufzeichnungen sind für Normal-Verwender eher kryptisch, da die Servernamen nicht aufgelöst werden. Auch über die Internetfreigabe des Macs, also wenn man ein iPad über den Internetzugang eines Macs ins Netz gehen lässt, lässt sich der Datenstrom nicht kontrollieren, da die Anfragen an z.B. zusätzlich installierten Firewalls (z.B. LittleSnitch) durchgeschliffen werden.

Habt ihr vielleicht noch Möglichkeiten oder Ideen, um den Datenverkehr zu überwachen bzw. optimaler Weise zu kontrollieren? Oder gibt es bereits Listen, die man in die eigene Firewall einpflegen kann, um dem ungezügelten Datenverkehr der i-Devices Herr zu werden?

 

[noodyn]

Wie sieht dein Usecase aus? Warum möchtest du dem "ungezügelten Datenverkehr Herr werden"? Das wird in jedem Fall zur Folge haben, dass etwas nicht wie vorgesehen funktioniert.

 

[McBuk]

Ich habe das iPad jüngst erst als Möglichkeit entdeckt, unkompliziert z.B. PDFs oder allgemein Texte zu überarbeiten/durchzugehen. Sich halt irgendwo gemütlich hinhocken, ohne einen Mac vor sich aufzuklappen. Zumindest bei Korrekturarbeiten ist das recht komfortabel.

Es gibt Kunden, die sagen da aber gerne mal: Nö... Thema Datenschutz. Was da schließlich in der Cloud oder sonstwie als Fragment irgendwo landet, so meinen einige nicht zu Unrecht, ist zu unsicher, zumindest überhaupt nicht transparent. Apple diesbezüglich zu vertrauen, ist fragwürdig. Das gilt nicht erst nach dem Uber-Gate.
https://www.heise.de/mac-and-i/meld...aufzeichnen-mit-Apples-Erlaubnis-3851114.html

Ich möchte mich zumindest mal mit der Frage auseinandergesetzt haben, inwieweit sich iOS dennoch absichern lässt, zumindest aber der Datenverkehr transparent kontrollierbar wäre. Vielleicht auch via einer Black/Whitelist, um Apps das Nach-Hause-Telefonieren zu versagen, wenn sich das in einem Routersetting einbinden lässt.

 

[geWAPpnet]

Warum ist da ein iPad anders als irgendein anderer Computer? Wenn Du ein Modell mit Mobilfunk hast, dann nimm halt die SIM-Karte raus und deaktiviere WLAN. Ansonsten hängt es doch von der benutzte App ab. Wenn Du z. B. Documents (PDF Expert) benutzt und die PDF-Dateien per Computer auf das iPad in die App transportierst und in dieser keine Cloud-Speicher aktivierst, dann sind die Dateien genauso lokal abgespeichert und ohne jeden Internetzugang wie auf einem MacBook. Eigentlich sind sie sogar noch sicherer, denn unter iOS kann wirklich keine andere App auf den lokalen Speicherbereich einer App zugreifen und die Dateien selbst sind verschlüsselt.

 

[McBuk]

Diese Grundlagen sind mir natürlich mittlerweile bekannt. Mich interessiert dennoch, was rein oder rausgeht, auch wenn die Cloud deaktiviert ist. Allein interessehalber.

Ich denke, allein das Uber-Beispiel zeigt, dass so manche App da im Hintergrund freidrehen kann. Vertrauen is gut, aber ich möchte schon wissen, was geschieht, wenn ich das WLan anschalte und die eine odere andere App verwende. Sich auf die Disclaimer zu verlassen, das überlasse ich Gutgläubigen.

 

[geWAPpnet]

Diese Grundlagen sind mir natürlich mittlerweile bekannt. Mich interessiert dennoch, was rein oder rausgeht, auch wenn die Cloud deaktiviert ist. Allein interessehalber.

Der Datenverkehr zu Clouds ist inzwischen bei allen Anbietern verschlüsselt, da könntest Du also nicht sehr viel aus dem reinen Datenstrom ersehen. Aber zur Frage: Es gibt keine Möglichkeit, den Datenstrom auf dem Gerät selbst abzugreifen (Sicherheitskonzept!). Das müsstest Du dann schon in den externen Geräten machen (Router, etc.).

 

[McBuk]

Du müsstest Du dann schon in den externen Geräten machen (Router, etc.).

Sind da bereits irgend welche Whitelists oder ähnliches im Umlauf? Oder wie könnte man das loggen? Die Logs der geläufigen Router sind doch eher kryptisch, weil die Adressen nicht als Namen aufgelöst werden, also schwer einer App zuzuordnen sind.

 

[geWAPpnet]

Sind da bereits irgend welche Whitelists oder ähnliches im Umlauf? Oder wie könnte man das loggen? Die Logs der geläufigen Router sind doch eher kryptisch, weil die Adressen nicht als Namen aufgelöst werden, also schwer einer App zuzuordnen sind.

Ich bin kein Hacker. Ich bezweifle ehrlich gesagt auch, dass sich da so viele hier im Forum herumtreiben.

 

[Meeseeks]

Funktioniert keine der zig Anleitungen mittels Mac als Proxy + Sniffer Software mehr ?

 

[MacMac512]

Was bringt es denn weg zu loggen, wo man erkennt, dass die Daten in der cloud landen, wenn der Kunde das nicht will?

 

[mj]

Sind da bereits irgend welche Whitelists oder ähnliches im Umlauf? Oder wie könnte man das loggen? Die Logs der geläufigen Router sind doch eher kryptisch, weil die Adressen nicht als Namen aufgelöst werden, also schwer einer App zuzuordnen sind.

Das nennt man nicht kryptisch sondern technisch akkurat. Was erwartest du dir? Eine Software, die dir schön in sauberem Deutsch sagt "App X greift auf Server Y zu um die folgende Information A nach B zu übertragen: blablabla?" Logs sind nun mal für Fachleute gemacht und ein Fachleut schert sich, man verzeihe mir die Ausdrucksweise, einen feuchten Dreck um unnötige, redundante oder überschüssige Informationen. Wenn ich den Traffic eines Geräts inm Firmennetz kontrolliere will ich genau drei Dinge wissen: Zeitstempel, Ziel-IP, Port. Alles andere ist kokolores.

Was du gerne hättest wäre mit einer professionellen Firewall alles durchaus machbar, allerdings stehst du hier vor drei Problemen:

1. Du brauchst eine Menge Fachwissen, um dir eine der kostenlos erhältlichen Firewalls wie z.B. pfSense als virtuelle Appliance einzurichten und den gesamten Traffic deines iOS-Geräts hierdurch zu routen um den Traffic anschließend mitzuschneiden. pfSense beherrscht zudem den Reverse-Lookup so dass du an Domainnamen zu den IP-Adressen kommst - allerdings wird dir das rein gar nichts nützen. Du brauchst zudem eine gehörige Portion Fachwissen um die erhaltenen Informationen auszuwerten. Welches bisschen mehr Information erhoffst du dir von der Aussage, dass dein iPad auf a23-66-44-190.deploy.static.akamaitechnologies.com zugegriffen hat im Vergleich zur Aussage, dass seitens deines iPads ein Zugriff auf die 23.66.44.190 erfolgt ist?
2. Du brauchst eine Menge Geld um eine professionelle Firewall zu kaufen, die den Mitschnitt für dich erledigt. Hinzu käme das Fachpersonal, dass dir diese Firewall entsprechend einrichtet. Wir reden hier von vier- bis fünf-stelligen Beträgen, je nachdem wie tief die Pakete inspiziert werden sollen, ob du MitM-Attacken mit SSL-Decryption durchführen willst, ob DPI erwünscht ist, etc. pp. Dummerweise brauchst du auch hier eine Menge Fachwissen um die Daten anschließend auszuwerten.
3. Erwähnte ich bereits das nötige Fachwissen zur Auswertung der Daten?

Wie du siehst ist das ganze nicht ganz banal. Es gibt einen sehr guten Grund, warum Unternehmen weltweit Leuten wir mir Unmengen an Geld in den Rachen werfen um ihnen diese Daten und Informationen zu liefern

 

[McBuk]

Funktioniert keine der zig Anleitungen mittels Mac als Proxy + Sniffer Software mehr ?

Zumindest wenn man das iPad über die Internetverbindungsfreigabe des Macs laufen lässt, wird nichts angezeigt.Der Datenverkehr wird komplett durchgeschliffen.

Was bringt es denn weg zu loggen, wo man erkennt, dass die Daten in der cloud landen, wenn der Kunde das nicht will?

Ist nur noch interessehalber.

Du brauchst zudem eine gehörige Portion Fachwissen um die erhaltenen Informationen auszuwerten.

Ja, da liegt der Hase begraben. Eine einfachere Lösung gibt es anscheinend nicht, also so einfache Lösungen wie z.B. LittleSnitch. Darüber hätte man zumindest schonmal ein bisschen Einblick, was so rumfunkt, so niederschwellig dies auch ist. Um mehr geht es ja nicht. Beim Mac lässt sich so zumindest schonmal sehen, welche App welchen Server anfunkt. Ist schonmal etwas.

Ich find aber auch interessant, wie sehr das Thema heute an den meisten Usern vorbeizieht. Da war man doch früher kritischer. Die Umerziehung der Kundschaft hat bestens funktioniert für die Tech-Firmen, wie mir scheint.

 

[Meeseeks]

Zumindest wenn man das iPad über die Internetverbindungsfreigabe des Macs laufen lässt, wird nichts angezeigt.Der Datenverkehr wird komplett durchgeschliffen.

Ich hab schon länger keinen Mac mehr, aber bei der Internetverbindungsfreigabe verbindet man sich doch direkt mit dem Mac anstatt dem normalen WLAN, oder?
Die mir bekannte Methode war einen Sniffer wie z.B. Burp auf dem PC/Mac zu starten und die IP vom PC/Mac inkl. Port als Proxy für die normale WLAN Verbindung einzutragen.
Da konnte identifiziert werden, ob beispielsweise eine App deine Geräte ID, MAC Adresse, etc. sendet.

 

[Olivetti]

wie sehr das Thema heute an den meisten Usern vorbeizieht. Da war man doch früher kritischer.

das müsstest du dann schon auf die iOS-welt einschränken. unter android u.a. gibt's diese einschränkungen ja nicht.

zum thema logfile analyzer wundert mich, wie man da gar nix finden kann. für so kleinigkeiten wie hostname lookup reicht aber i.d.R. ein 1-2-zeiliges script.

für's DIY-monitoring würde ich mit einem proxy anfangen, da kannst du dann auch schon blacklists anlegen.

 

[McBuk]

Ich hab es zunächst wie folgt gemacht:

Internetverbindungsfreigabe im Mac eingerichtet und das iPad per Wlan verbunden. Zur Inspektion habe ich als Proxy-Sniffer "Burp" verwendet. Folgende Anleitung war hilfreich, auch wenn die neuere Version von Burp es einem noch etwas leichter macht.
https://www.engadget.com/2011/02/21/how-to-inspect-ioss-http-traffic-without-spending-a-dime/

Die Einrichtung war leicht in fünf Minuten bewerkstelligt. Das kriegen auch Noobs hin. Die Internetverbindungsfreigabe über den Mac funktioniert sowieso hervorragend, ist in der Einrichtung unkompliziert.

Zum vorläufigen Ergebnis:

Das iPad bzw. iOS erkennt bei systemrelevanten den dazugeschalteten Proxy-Mitschnitt (zumindest mit Burp) anscheinend als potentiellen 'Man-in-the-Middle'-Angriff. Das ist u.a. daran ersichtlich, dass iOS eine Site ansteuert, die für die Vorschaltung einer Warnung in Safari sorgt. Ist der Proxy-Mitschnitt aktiviert, funktionieren auch Aufgaben wie z.B. Software-Update nicht mehr. Es wird dann keine Verbindung mehr aufgebaut, auch nicht zum App-Store.

Sehr wohl funktionieren aber alle sonstigen Internetzugriffe der Apps oder auch Safari. Safari warnt jedoch vor einer 'unsicheren Verbindung', die man als solche erst bestätigen muss.

So ist es natürlich kaum möglich, angemessen zu überprüfen, was iOS oder Apps im Normalfall an Verbindungen aufbauen.

Aber...

Sollte iOS im Normalfall deutlich mehr Verbindungen aufbauen und ein Proxy dies unterbinden, geht von den Apps an Traffic so gut wie garnichts raus.

Meine News-App suchte z.B. demnach tatsächlich nur die Feeds auf, die auch eingetragen waren. Sonst nichts. Andere Apps versandten demnach garnichts im Hintergrund oder jenseits der gestellten Aufgaben (oder konnten nicht wegen des Proxys). iOS funktionierte ansonten reibungslos. Dienste wie iCloud usw. waren (s.o.) natürlich unterbunden.

Soweit erst einmal. Mich würde natürlich nach wie vor interessieren, wie es im 'Normalfall' ausschaut.

 

[McBuk]

Habe mich jetzt mal an die erste Analyse via Wireshark gewagt. Das ist natürlich ein ordentliches Unternehmen. Leider bin ich aktuell auch recht eingebunden.

Ich wundere mich aber, dass diverse Leute aus dem Datenschutz-Aktvismus da nicht längst mal was zu veröffentlicht haben. iDevices können doch nicht völlig an denen vorbeigegangen sein. Wenn man sich daran erinnert, welche Aufschreie früher mal durchs Netz gingen, wenn Microsoft auch nur mal einen Dienst im Hintergrund laufen hatte, der mit deren Servern Kontakt aufnahm, also, da haben sich wohl die Zeiten gehörig geändert. Oder ist das schon die Kapitulation?

iOS ist ab Start bereits ein ganz anderes Kaliber. Es genügt jedenfalls anscheinend nicht, wenn man sich von der iCloud abmeldet usw. Ab Systemstart sendet das iPad Pakete ins Netz. Man kann auch automatische Updates usw. abgestellt haben, Systemzeit usw. Bringt nichts. Selbst der App-Store wird, auch wenn er nicht gestartet wird, dennoch angefunkt. Vom Start weg.

Enige der Adressen in die Router-Blacklist gesetzt arbeitet das iPad natürlich in einigen Belangen so, als wäre man offline. Aber es funktioniert dennoch bestens. Es funktionieren dann z.B. nicht der Appstore oder die Anmeldung an die iCloud. iTunes holt sich nicht mehr die Zusatzfunktionen, die man sonst hat, sobald man online ist, funktioniert also wie offline. Safari funktioniert, wenn man es nicht blockt, ebenfalls hervorragend, selbst wenn man andere iOS-Funktionen blockt. Auch andere Apps bereiten keine Probleme, Newsreader-Apps z.B., Documentes usw.

Nur mal als ersten Geschmack, an folgende Adressen sendet iOS, ohne dass auch nur eine App nach dem Start geöffnet worden wäre. Lediglich ein Ausschnitt der ersten Startminute.

www.apple.com
43-courier.push.apple.com
www.apple.com.edgekey.net
api-glb-drf.smoot.apple.com
gspe1-ssl.ls.apple.com
configuration.apple.com
captive.apple.com
init.itunes.apple.com
gspe35-ssl.ls.apple.com
setup.icloud.com
xp.apple.com
gdmf.apple.com
bag.itunes.apple.com
mesu.apple.com
init-p01st.push.apple.com
28-courier.push.apple.com
daypass.api-glb-drf.smoot.apple.com
smp-device-content.apple.com
mt-ingestion-service-pv.itunes-apple.com.akadns.net
itunes.apple.com.edgekey.net
apps.mzstatic.com
xp.itunes-apple.com.akadns.net
pd.itunes.apple.com
su.itunes.apple.com
itunes.apple.com
client-api.itunes.apple.com
iadsdk.apple.com
buy.itunes.apple.com
configuration.apple.com.edgekey.net
radio-services.itunes.apple.com
se2.itunes.apple.com
time-ios.apple.com
time-ios.g.aaplimg.com

Das mag alles 'harmlos' sein. Aber es sind Datenpakete, die im Hintergrund Daten senden, Ein- und Ausgang also haben. Nicht nur Apple kann damit potentiell einiges an Daten sammeln, Ports sind offen usw. Was sonst noch und wie weit das geht, bleibt im Dunkeln. Das finde ich nicht ok so. Seit PRISM dürfte doch jede Skepsis gerechtfertigt sein. Ich erinnere an Uber:
http://www.telegraph.co.uk/technolo...p-could-secretly-record-iphone-users-screens/
https://www.heise.de/mac-and-i/meld...aufzeichnen-mit-Apples-Erlaubnis-3851114.html

 

[Meeseeks]

Wenn du den Anspruch hast dein System komplett zu kontrollieren, musst du zu Android wechseln (oder eventuell Jailbreaken).
Das Apple dem Nutzer bei iOS nur die Kontrolle über Dinge gibt, die sie für richtig halten dürfte inzwischen bekannt sein.
Dass bei Android vor allem mit Root-Zugriff viel mehr geht auch.

Das iPad checkt eben automatisch die Store nach Updates, auch wenn sie nicht automatisch installiert werden.
Pushnachrichten werden gecheckt -> Service muss laufen
Beats Radio läuft auch ohne Apple Music Abo -> wird daher gecheckt
Nutzt du Siri oder Safari Suchvorschläge ? Service muss laufen
Nutzt du die Automatische Systemzeit? Service muss laufen.
etc.

Viele vertrauen halt Apple einfach, wenn sie von ihrer "Differential Privacy" reden.
Ebenso wie viele Google Dienste nutzen, einfach weil sie aufgrund der gesammelten Daten eine für sich persönlich bessere Nutzererfahrung bekommen. Andere verteufeln es grundsätzlich und wissen aber nicht mal von den Datenschutzoptionen, die ein Google-Konto bietet.
Microsoft Win 10 Datenschutz-"Problematik" wurde für mich von der Presse und im Internet künstlich aufgeblasen, u.a. auch aufgrund neuen Update-Pflicht.

Den meisten ist es meiner Meinung nach egal, welche gerätespezifischen Daten gesammelt werden, solange ihre persönlichen Daten sicher sind.
Wer keine Daten preisgeben will muss offline bleiben, denn jede Webseite kann ohne Nutzerwissen genügend Daten sammeln.

 

[McBuk]

Ja, man kann über all das auch diskutieren. Mich interessiert aber zunächst nur, was rein- und rausgeht. Ganz im Sinne des Thread-Titels.

Das sich obendrein regulieren lässt, was Apple gleich vom Start weg abfischt, ohne auf andere Vorzüge der iDevices zu verzichten, finde ich schonmal erfrischend.

Vielleicht wollen andere noch mit dran arbeiten.

 

[Meeseeks]

Lustig, dass du jetzt gleich mit "konstruktiv" und OffTopic kommst, obwohl der Vorschlag den Mac als Proxy zu nutzen von mir kam...

Abschließender Kommentar, bin dann auch raus hier:

Ich bin fasziniert wie sehr du deinen ursprünglichen Beitrag geändert hast.
Dort stand aus der Erinnerung her etwas bezüglich "ich möchte doch nur ein System, in dem ich xyz kontrollieren kann" oder in der Art.
Darauf bezieht sich der 1. Abschnitt und der Vorschlag Android, das dir eben mehr Kontrolloptionen bieten kann (z.B. eine systemweite Firewall auf dem Gerät als komfortablere App, CopperheadOS als auf Sicherheit&Privatsphäre getrimmte ROM)
Du magst zwar die iOS Dienste schön brav im eigenen WLAN blocken, aber beim mobilen Netz wirds schon schwieriger.
Wenn sich nichts geändert hat, werden bei Systemstart zuerst die Server kontaktiert, bevor ein VPN Tunnel zum eigenen WLAN überhaupt aufgebaut wird.

Wenn man nur irgendwelchen Traffic auflistet, dann kann man mMn auch mal beispielhaft ansprechen, was diese Dienste überhaupt so tun. Wundert mich, dass dies nichts mit dem Thema zu tun haben soll.
Ist das nicht der Sinn bei der Entwicklung von Sperrlisten? Du musst wissen welche Dienste vom System mehr oder minder für die gewünschte Funktionen benötigt werden.
In der Liste sind eben die Anfragen der Dienste für AppStore Updates, Pushdienste, Systemupdates, Systemzeit, Beats Radio, etc. aufgelistet.

Und wenn du die Frage der Kapitulation bezüglich des Datenschutzes stellst, dann ist also eine Antwort dazu unerwünscht? Eine allgemeine Antwort gibts mMn nicht, deshalb dachte ich eine persönliche Meinung sei wohl passend.

Ich wundere mich aber, dass diverse Leute aus dem Datenschutz-Aktvismus da nicht längst mal was zu veröffentlicht haben. iDevices können doch nicht völlig an denen vorbeigegangen sein. Wenn man sich daran erinnert, welche Aufschreie früher mal durchs Netz gingen, wenn Microsoft auch nur mal einen Dienst im Hintergrund laufen hatte, der mit deren Servern Kontakt aufnahm, also, da haben sich wohl die Zeiten gehörig geändert. Oder ist das schon die Kapitulation?

 

[McBuk]

So richtig smart ist so eine Blacklist ja leider immer noch nicht. Es bleibt ein interessantes Experiment, zu sehen, dass so ein iPad trotzdem per se zig Dienste anfunkt, die man selber garnicht nutzen will.

Ich zitiere mal MacMark: "Whitelisting ist besser als Blacklisting. Letzteres funktioniert nicht, weil immer neues Böses dazu kommt."
http://www.macmark.de/blog/osx_blog_2017-05-c.php

Ich will Apple-Dienste jetzt nicht als 'Böse' bezeichen. Aber das Prinzip des Ausschlusses scheint mir logisch zu sein. Erstmal allen Verkehr abstellen, um dann Schritt für Schritt das Notwendige raus/reinzulassen, weil es nach Durchgang fragt, wäre natürlich ideal. So a la Little-Snitch. Leider haut das nicht hin, selbst wenn man den Mac als Proxy konfiguriert.