IPv6-Privatsphäre für Mac OS X sowie iOS mit Jailbreak

Die Verwendung von IPv6 anstelle des heutigen gängigen IPv4 kann die Privatsphäre gefährden, weil viele Betriebssysteme standardmässig die weltweit eindeutige MAC-Adresse eines Computer oder Smartphones als Teil der IPv6-Adresse verwenden. Abhilfe schaffen die entsprechenden «Privacy Extensions», die bei Microsoft Windows immer aktiv sind und für andere Betriebssysteme aktiviert werden können.

Für Mac OS X funktioniert das Aktivieren gemäss Anleitung bei «Heise Online» wie folgt:

Unter Mac OS X aktivieren Sie sie im Terminal mit dem Befehl

sudo sysctl -w net.inet6.ip6.use_tempaddr=1

Das vorangestellte sudo fragt nach Ihrem Passwort und führt dann den Befehl sysctl mit Administratorrechten aus. Damit das klappt, müssen Sie mit einem Benutzer angemeldet sein, der den Mac verwalten darf.

Leider verschwindet die Einstellung nach einem Neustart. Damit das System die Einstellungen automatisch setzt, verwenden Sie am besten einen LaunchDaemon. Über den c’t-Link können Sie einen passenden herunterladen. Die Datei mit dem Namen „de.ctmagazin.IPv6starter“ müssen Sie nur noch in das Verzeichnis /Library/LaunchDaemons kopieren. Existiert es noch nicht, legen Sie es einfach an.

Unter iOS steht diese Möglichkeit leider nur Benutzern mit Jailbreak zur Verfügung:

Doch ausgerechnet die Nutzer von modernen Smartphones haben keine Chance: In Apples iOS und auf den Android-Handys fehlen sowohl der Schalter, um die Privacy Extensions zu aktivieren, als auch einer, um IPv6 abzuschalten – wer mit einem der betroffenen Geräte ein IPv6-taugliches WLAN nutzt, überträgt seine ID.

Dabei fehlt den Smartphones nur ein Schalter in der Benutzeroberfläche, denn die Privacy Extensions sind durchaus im Kernel enthalten. So kann man sie auf einem iOS 4 mit root-Zugang (Jailbreak) mit demselben Befehl aktivieren wie auf einem Desktop mit Mac OS X […].

Nachtrag

Per Kommentar beschreibt ein MacMacken-Leser eine weitere Möglichkeit zur Konfiguration unter Mac OS X.

15 Comments

  1. STHLM
    17. Januar 2011

    Wie das genau auf dem iPhone funktionieren soll, ist mir unklar. Muss ich da per Cyberduck (SSH)? die heise-launch-datei hineinkopieren?

    Reply
    • Martin (MacMacken)
      17. Januar 2011

      Ich kann Dir mangels iPhone mit Jailbreak leider nicht weiterhelfen. Hast Du schon gegoogelt?

    • STHLM
      17. Januar 2011

      Hej Martin!

      Nein, gegoogelt habe ich noch nicht nach IPv6 und iPhone, werd‘ ich aber wohl mal tun. Besser wäre es natürlich, wenn jemand mit Erfahrung ggf. ein passendes Jailbreak-Programm empfehlen könnte. Bzw. aus seiner Erfahrung ein wenig beschreiben könnte – was man wie genau tut.

      Denn meine Erfahrungen rund um’s jailbreaken waren leider bisher: auf den ersten Blick mitunter sehr genau, wenn man eine Schritt-für-Schritt sieht. Aber dann muss man zwischendurch doch ein wenig Kreativität an den Tag legen. Da fehlten auf einmal doch einige Details, die einem „Nicht-Jailbreaker“ nicht selbsterklärend sind.

  2. Lars
    17. Januar 2011

    Ein Shell auf dem iOS-Gerät installieren, dann hat man eine Kommandozeile. Oder einen SSH-Server installieren (Cydia), dann vom Mac/PC per Terminal/Putty verbinden und den Befehl ausführen. Root-PW (alpine) bei Gelegenheit gleich ändern.

    Reply
    • STHLM
      17. Januar 2011

      Hej Lars!

      Danke für den Hinweis. Habe nun per Terminal und SSH-Verbindung den Befehl eingegeben. Aber mit dem nächsten Neustart dürfte doch der Befehl vergessen sein, richtig? Kann ich da den ct-launcher auch auf das iPhone kopieren (Cyberduck), wenn ja – wohin, damit es auch funktioniert?

      Danke.

  3. controlc.de
    17. Januar 2011

    [Ungetestet]: Für OSX kann man auch laut http://developer.apple.com/library/mac/#documentation/Darwin/Reference/ManPages/man5/sysctl.conf.5.html die Zeile in die Datei /etc/sysctl.conf schreiben und nach einem Neustart sollte die Änderung noch da sein.

    Reply
    • Martin (MacMacken)
      17. Januar 2011

      Merci für den Hinweis!

      (Und das nächste Mal bitte mit einem menschlichen Namen und nicht mit einem Domainnamen …)

    • controlc.de
      17. Januar 2011

      Nix für ungut Martin, aber der Name bleibt 🙂 – besser und aussprechbarer als z.B. STHLM ist er allemal.

      Solltest Du das nicht akzeptieren, dann lösch bitte alle meine Kommentare und ich werde es mir auch in Zukunft verkneifen neue zu verfassen.

    • Martin (MacMacken)
      17. Januar 2011

      Wieso kommentierst Du nicht mehr unter Deinem früheren Benutzernamen?

    • controlc.de
      17. Januar 2011

      Habs gerade nochmal getestet und es klappt. Die Datei /etc/sysctl.conf neu anlegen und als Inhalt „net.inet6.ip6.use_tempaddr=1“ rein.

      Mit „sudo sysctl net.inet6.ip6.use_tempaddr“ bekommt man raus, wie die Einstellung gerade ist.

  4. Asmus
    17. Januar 2011

    Bleibt natürlich die entscheidende Frage, wer von euch benutzt denn überhaupt IPv6 außerhalb des eigenen internen (und damit hoffentlich auch sicheren) Netzes? Die großen DSL-Provider bieten dass (zumindest in Deutschland) meines Wissens doch (noch) nicht an?!

    Reply
    • STHLM
      18. Januar 2011

      Hej!
      Man muss ja nicht nur in Deutschland sein – hier zuhause in Stockholm (STHLM) bin ich dauerhaft mit 100 MBit up-/down und eigener IP online. Ob’s IPv6 ist? K.A. aber man kanns ja schon mal zur Sicherheit einrichten, denn Änderungen am Netzwerk werden nicht immer mitgeteilt.

      Bleibt für mich nur die Frage, wie es am iPhone dauerhaft eingetragen wird – Einstellung geht vermutlich wie am Mac bei Neustart verloren, oder?

      Gruß,

    • Martin (MacMacken)
      18. Januar 2011

      Die großen DSL-Provider bieten dass (zumindest in Deutschland) meines Wissens doch (noch) nicht an?!

      Nein, aber LANs unterstützen immer häufiger IPv6 und kompatible Geräte wie das iPhone nutzen dann automatisch IPv6 oder übertragen zumindest ihre entsprechende MAC-Adresse.

    • Asmus
      18. Januar 2011

      Schon klar, aber je nachdem wie clever der LAN-Betreiber ist, kann der sowieso nachvollziehen was welcher Client zu welcher Zeit tut; deine MAC-Adresse überträgst du so oder so, ob du sie nun in der IP-Adresse in die Welt trägst oder ob du sie als Dritter mit arp ermittelst oder als DHCP-Provider aus dem Server liest ist dann auch egal. 🙂
      Und ja, du kannst die MAC-Adresse natürlich spoofen, aber wenn dein LAN-Betreiber clever ist, wird er dir was von Pferd erzählen und sagen dass er deine MAC zur Authentifizierung im LAN benötigt – sobald du sie spoofst bekommst du keine IP mehr.

  5. mac | Manches ist einfacher als man denkt … | controlc.de
    21. Januar 2011

    […] ihnen Pro­fes­sion aner­kennt. Bes­tes Bei­spiel ist der Arti­kel von MacMa­cken zum Thema IPv6-Privatsphäre. Da ver­weist er auf einen Arti­kel der Zeit­schrift c´t in dem es um die Pri­vacy Exten­sion […]

    Reply

Leave a Reply