AntiSec entführt iPhone-Seriennummern ins Netz

#AntiSec veröffentlicht eine Millionen iOS-UDIDs sowie die dazugehörigen Push-Token, die persönlichen Gerätebezeichnungen sowie den Gerätetyp der iPods, iPhones und iPads. Die Hackervereinigung gibt an, insgesamt 12 Millionen dieser eindeutigen iOS-Kennnummern und weitere private Daten (Postadresse, Telefonnummer, etc.) zu besitzen. Laut eigener Angaben stammt der Datensatz (‚NCFTA_iOS_devices_intel.csv‘) von einem kompromittierten FBI-Computer. Medienberichten zufolge konnte die Authentizität ausgewählter UDIDs bestätigt werden.

Eine UDID ist eine fest vergebene Kennziffer, die ein iOS-Gerät eindeutig identifiziert aber keine privaten Daten enthält. Die Identifikationsnummer des eigenen iPhones oder iPads lässt sich über iTunes einsehen.

Das Missbrauchspotenzial dieser individuellen Kennung nutzten Werbeanbieter und App-Store-Entwickler in der Vergangenheit in großem Umfang aus.

We know that UDIDs are very widely used – in a sample of 94 apps I tested, 74% silently sent the UDID to one or more servers on the Internet, often without encryption.

Apple setzte den UDID-Zugriff im vergangenen Herbst auf die API-Abschussliste und verteilte im März 2012 erste App-Store-Ablehnungen für Programme, die weiterhin darauf zugreifen. Mit iOS 6 ändert Apple sein bisheriges Design(-Problem), das im (gedankenlosen) Umgang auf Seiten von App-Store-Anbietern zu haarsträubenden Geschichten führte.

I looked at all the gaming social networks on IOS – basically OpenFeint and its competitors – and found catastrophic mismanagement by nearly everyone. The vulnerabilities ranged from de-anonymization, to takeover of the user’s gaming social network account, to the ability to completely take over the user’s Facebook and Twitter accounts using just a UDID.

Neben den Datenschutzschäden ist der Umgang von Dritten mit den gesammelten UDIDs und einer möglichen Verknüpfung an andere Datenbanken und soziale Netzwerke ein schwierig einzuschätzendes Sicherheitsproblem.