Die Hackergruppe Antisec hat eine Liste von insgesamt 1 Million “unique device identifiers” (UDIDs) aus iOS-Geräten veröffentlicht. Die Daten stammen aus einem FBI-Laptop, welcher im März diesen Jahres aufgrund einer Java-Sicherheitslücke kompromittiert werden konnte.
During the second week of March 2012, a […] notebook, used by […] FBI […] was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of “NCFTA_iOS_devices_intel.csv” turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.
Wie sich herausstellte, wurde die Datei namens “NCFTA_iOS_devices_intel.csv” vom Laptop kopiert, welche über 12 Millionen Daten von iOS-Geräten enthielt. Darunter die einzigartigen Geräte-Identifikationsnummern (UDIDs), Benutzernamen, Gerätenamen, Gerätetypen, Push-Tokens, Postleitzahlen, Telefonnummern, Adressen und mehr. Ein Großteil der Einträge verwies allerdings nicht auf persönlichen Daten.
Von den 12 Millionen Einträgen hat Antisec insgesamt 1 Million Daten veröffentlicht. Persönliche Daten wurden dabei unkenntlich gemacht. Aus welcher ursprünglichen Quelle die Daten stammen, ist bisher ungeklärt. Es wird vermutet, dass dies lediglich gesammelte Daten von App-Entwicklern sind um Push-Nachrichten zuzustellen.
Apple nimmt das Thema UDID sehr ernst. Im August letzten Jahres wurde Entwicklern verboten, die UDID des Gerätes abzufragen. Dies geschah aufgrund von Sicherheitsbedenken bezüglich der Privatsphäre. Im März 2012 hat Apple die Drohung wahr gemacht und damit begonnen, Apps welche die UDID abfragen, nicht in den App Store zuzulassen bzw. von diesem zu entfernen.
Generell ist eine einzelne UDID nicht gefährlich. Jedoch verbunden mit dem Hack von Netzwerken wie OpenFeint, welches von mehreren Apps eingesetzt wird, können dadurch auch Accounts geknackt werden.
Bleibt nur noch die Frage, was das FBI mit 12 Millionen Datensätzen von iOS-Geräten vor hatte.
(via)
Update 1:
Das FBI hat sich zu den Vorwürfen geäußert.
AllThingsD hat ein Statement:
The FBI is aware of published reports alleging that an FBI laptop was compromised and private data regarding Apple UDIDs was exposed.
At this time there is no evidence indicating that an FBI laptop was compromised or that the FBI either sought or obtained this data.
Man habe also keine konkreten Hinweise darauf, dass ein FBI-Laptop geknackt wurde, noch dass daraus irgendwelche Daten extrahiert wurden. Via Twitter wurden die Meldungen nochmals als “total falsch” bezeichnet.
Woher hat AntiSec die Daten denn dann, wenn das FBI nichts damit zu tun hat. Wir trauen der Sache jedenfalls nicht. Vielleicht äußert sich Apple auch zu dem Fall.
Update 2:
Apple hat sich zu dem Fall geäußert. Wie zu erwarten war, fällt die Antwort negativ aus.
AllThingsD hat von der Apple-Sprecherin Natalie Kerris erfahren, dass von Apple’s Seiten keinerlei UDIDs an das FBI oder eine sonstige Organisation weitergeleitet worden wären und das FBI sowie sonstige Organisationen diese Daten auch nicht angefragt hätten.
“The FBI has not requested this information from Apple, nor have we provided it to the FBI or any organization. Additionally, with iOS 6 we introduced a new set of APIs meant to replace the use of the UDID and will soon be banning the use of the UDID.”
Man dementiert die Berichte nicht nur, sondern will in iOS 6 auch neue APIs einführen, um endgültig von den UDIDs wegzukommen.
Es scheint, als hätte sich AntiSec die Daten selber aus den Finger gesaugt bzw. gehackt. Keiner will etwas mit dem Fall zu tun haben. Möglicherweise äußert sich auch AntiSec nochmal dazu. Wir bleiben dran.
