Skip to content Skip to sidebar Skip to footer

Hackergruppe klaut bei FBI 1 Million UDIDs //Update

wer findet den Fehler?

Die zu Anonymous gehörende Hackergruppe AntiSec ist laut eigenen Angaben im Besitz von einer Million UDIDs von Apple iOS Geräten. Diese Daten sollen, “dank” einer Java Sicherheitslücke, von einem FBI Rechner geladen worden sein. Was ist die UDID? Die Unique Device Identifiers (UDID) ist eine eindeutige Nummer die jedes iPhone, iPad und jeder iPod touch besitzt. Dank dieser Nummer kann Apple jedes Gerät eindeutig identifizieren. Die UDID enthält keine Informationen über den Besitzer des Gerätes.

https://twitter.com/AnonymousIRC/status/242822072026398720

Die gestohlenen Datensätze (“NCFTA_iOS_devices_intel.csv”) beinhalten die UDID, Nutzernamen, Gerätenamen und -typ, Apple Push Notification Service Token, Telefonnummern und Adressen. Unvorstellbar was mit diese Daten angerichtet werden kann, wenn diese in falschen Hände gelangen. Genau dort könnten diese jetzt sein.

Die Geschichte geht so weiter, dass das FBI den Besitz solcher Daten sowie der angebliche Diebstahl dementiert. Anonymus twitterte darauf, dass sie noch über 3 TB an heiklen Daten haben.

https://twitter.com/AnonymousIRC/status/243095317644451840

Weiter ist nichts bekannt. Im besten Falle wolle Anonymus lediglich die Problematik der UDIDs bekannt machen.

Update 10.09.2012
Die ganzen Daten wurden von der Sicherheitsfirma intrepidusgroup.com gründlich angeschaut. Diese kann die UDIDs nun eindeutig dem Publisher BlueToad zuordnen. Wie die Daten zu Anonymus gelangte ist bis jetzt noch unbekannt. Weiteres dazu gibts bei giga.de.

Heute Realität: etliche Apps senden, zu welchem Nutzen auch immer, die UDID an teils mehrere Server. Teilweise unverschlüsselt. Apple hat schon reagiert und lässt seit März 2012 keine Apps mehr in den AppStore welche auf die UDID des jeweiligen Gerätes zugreifen. Ältere, nicht aktualisierte, Apps sind von dieser Sicherheitsmassnahme (leider) nicht betroffen.

Neu mit iOS 6 wir Apple die auf die Geräte geschlüsselte ID nicht mehr verwenden. Stattdessen wird es zwei Identifizierungsnummern geben. Eine für App-Entwickler und einen speziell für Werbezwecke. Beide können im Gegensatz zur UDID bei Bedarf vom Nutzer neu generiert werden. Eine solche wechselnde ID ist gegenüber der eindeutigen UDID viel sicherer.

I looked at all the gaming social networks on IOS – basically OpenFeint and its competitors – and found catastrophic mismanagement by nearly everyone. The vulnerabilities ranged from de-anonymization, to takeover of the user’s gaming social network account, to the ability to completely take over the user’s Facebook and Twitter accounts using just a UDID.

(via iphoneblog / danke für den Tipp @weissertiger2)

Kommentar hinterlassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.