Loupe - iOS ऐप जो दिखाता है कि native iOS ऐप्स कौन-सी device fingerprinting surface देख सकते हैं
(github.com/mysk-research)- Loupe एक iOS·iPadOS ऐप है जो public iOS API से वास्तविक values पढ़कर उन्हें raw रूप में दिखाता है, ताकि आप सीधे देख सकें कि third-party apps जिन APIs को call कर सकती हैं उनके जरिए device कौन-सी values expose करता है
- नाम, email या location के बिना भी कई read values मिलकर एक fingerprint बना सकती हैं, जो apps और websites के पार उपयोगकर्ता को फिर से पहचानने में सक्षम होती है
- read values को access cost के आधार पर तीन स्तरों में समूहित किया गया है
- Passive: बिना prompt के सभी apps को दिखने वाली locale, time zone, screen, battery आदि
- Needs Permission: contacts, photos, location, calendars जैसी values, जो iOS prompt trigger करती हैं
- Advanced:
canOpenURLके जरिए URL-scheme probing, और reinstall के बाद भी बने रहने वाली Keychain persistence जैसे public API side channels का उपयोग
- Loupe जिन values को पढ़ता है वे, जब तक आप उन्हें स्पष्ट रूप से export न करें, device से बाहर नहीं जातीं; उन्हें aggregation या hashing के बिना raw values के रूप में दिखाया जाता है, और वे upload, sync या share नहीं की जातीं
- build के लिए Xcode 26 या बाद का संस्करण चाहिए;
code/Loupe.xcodeprojखोलें,Signing.local.xcconfigमेंDEVELOPMENT_TEAMऔर bundle identifier भरें, फिर device या simulator पर build और run करें - Xcode के buildable folders का उपयोग होने से नए Swift files project file बदले बिना अपने-आप शामिल हो जाते हैं; यह macOS के लिए भी build होता है, लेकिन Mac version को polished स्थिति तक पहुँचाने के लिए अभी कुछ और काम चाहिए
- Loupe एक मुफ्त open source प्रोजेक्ट है, और source code MIT License के तहत वितरित किया जाता है, लेकिन Loupe नाम, logo, app icon, images, icons और design source files पर MIT License लागू नहीं होता
1 टिप्पणियां
Hacker News टिप्पणियाँ
समझ नहीं आता कि ऐप का internet access डिफ़ॉल्ट रूप से blocked होकर opt-in क्यों नहीं है
data exfiltration को रोक दिया जाए तो ऐसे ज़्यादातर नुकसान कम हो सकते हैं, और शुरुआत से ही बहुत-से apps को internet access की ज़रूरत नहीं होती
blood pressure पढ़ने के लिए मुझे GE account क्यों बनाना चाहिए, यह समझ नहीं आता, और कम-से-कम उसमें इतना तो पता होता है कि वे मेरा इस्तेमाल कर रहे हैं, लेकिन यह तो साफ़ दुरुपयोग है
ज़्यादातर apps के पास internet access के लिए कुछ न कुछ वैध कारण भी होते हैं, इसलिए सिर्फ़ yes/no permission से शायद बहुत फ़ायदा नहीं होगा
अच्छा होगा अगर वह सभी network requests, target domains, और भेजे जा रहे data का detailed log दिखाए
options हैं off, WLAN only, और WLAN + cellular [0]
[0] https://old.reddit.com/r/ios/comments/aib10i/in_china_ios_al...
मैंने GrapheneOS इस्तेमाल नहीं किया है इसलिए नहीं जानता, लेकिन Android खुद इसे पूरी तरह support करता है, फिर ज़्यादातर phone manufacturers अपने ROM में यह permission क्यों हटा देते हैं, समझ नहीं आता
फिर भी मैं सहमत हूँ कि ऐसी सुविधा हर जगह होनी चाहिए
यहाँ कुछ comments के बारे में एक सुधार: iOS apps सभी installed apps की list नहीं बना सकते
वे सिर्फ़ उन्हीं specific apps/schemes को LSApplicationQueriesSchemes के ज़रिए declare करके check कर सकते हैं कि वे installed हैं या उन्हें open करने की कोशिश कर सकते हैं
अगर आप असंबंधित apps की लंबी list डालें, तो Apple की app review में reject कर दिया जाएगा
Apple ने यह restriction इसलिए जोड़ा क्योंकि installed apps की list fingerprinting और privacy-invasive profiling के लिए इस्तेमाल हो सकती है
और data brokers या aggregators हज़ारों apps से ऐसा data खरीदकर, जोड़कर, फिर से बेच सकते हैं
बहुत high-signal वाली छोटी list भी leaked दूसरे data के साथ मिलकर किसी व्यक्ति को uniquely identify करने लायक additional entropy दे सकती है
वह list कहाँ देखी जा सकती है?
“iPhone last setup or erased on ...” वाली जानकारी सच में बहुत खराब है
user इसके बारे में व्यावहारिक रूप से कर ही क्या सकता है? लगता है OS को किसी तरह इस value को blur करना चाहिए
एकमात्र बचाव यह है कि apps install करने से बचें और जहाँ संभव हो web browser इस्तेमाल करें
volume creation date काफ़ी गंभीर है
समझ नहीं आता कि इस value और Pasteboard changeCount को इतना granular होने की क्या ज़रूरत है
“Installed Apps Probe” leak भी चौंकाने वाला था, लेकिन फिर भी Android की मौजूदा स्थिति से बेहतर है
और इसे रोज़ reset न होने से रोकने वाली भी कोई चीज़ नहीं है
शानदार
इसे देखकर एहसास होता है कि ऐसे tools कितने ज़रूरी हैं जो चीज़ों को visual रूप में समझने लायक बनाते हैं
web के लिए मैंने कुछ ऐसा ही बनाया था: https://neberej.github.io/exposedbydefault/
Github: https://github.com/neberej/exposedbydefault
जिन लोगों के पास iPhone नहीं है या जो app install नहीं करना चाहते, वे यहाँ demo देख सकते हैं
यह उसी video का दूसरे platform वाला version है
https://odysee.com/@techlore:3/permission-not-required-the-o...
https://www.youtube.com/watch?v=_n_SpEWtqog
https://inv.nadeko.net/watch?v=_n_SpEWtqog
https://techlore.tv/w/d7dh4P7y4dVngNoL7u7s3B
समझ नहीं आता कि बिना कोई special permission दिए किसी random app को इतनी सारी जानकारी क्यों मिल सकती है, और Apple यह अहम बात users को बताता क्यों नहीं
क्या Apple category-wise या app-wise allow/block की जा सकने वाली लंबी checkbox list नहीं बना सकता?
उदाहरण के लिए, मुझे यह नहीं पता था कि बिना कोई permission दिए app तुरंत device पर installed सभी apps की list पा सकता है, और सिर्फ़ Tinder/Bumble/Hinge की मौजूदगी से यह अंदाज़ा लगा सकता है कि कोई dating कर रहा है, या यहाँ तक कि cheating भी कर रहा है
सिर्फ़ इसी आधार पर ऐसा लगता है कि कोई बेईमान actor “partner cheating कर रहा है या नहीं, चेक करें” जैसी service बनाकर $10 में probabilistic जवाब बेच सकता है
ऐसा “partner cheating check करें” app आप सामने वाले के phone में install कैसे करवाएँगे?
क्या Android phones के लिए भी ऐसा कुछ पहले से मौजूद है?
आज मैंने privacy share न करने की कोशिश बस छोड़ दी
इसकी बजाय मैं सारे ads block करता हूँ, और जो apps/websites ad blocking के बिना इस्तेमाल ही नहीं किए जा सकते, उन्हें इस्तेमाल नहीं करता
हो सकता है उनके पास मेरी पसंदीदा ice cream flavor जैसी बारीक जानकारी भी बहुत हो, लेकिन मैं ads देखता ही नहीं, इसलिए ज़्यादा परवाह नहीं करता
बेशक बेहतर यही होगा कि यह जानकारी किसी के पास न हो, लेकिन ऐसे भयानक समाज में practical होना ही पड़ता है
इसलिए मैं apps install करने से बचता हूँ और बहुत ज़्यादा apps नहीं रखता