von Alex Olma
4. September 2012 – 11:32 Uhr

AntiSec entführt iPhone-Seriennummern ins Netz

IPhoneBlog de ANONYMOUS Pastebin

#AntiSec veröffentlicht eine Millionen iOS-UDIDs sowie die dazugehörigen Push-Token, die persönlichen Gerätebezeichnungen sowie den Gerätetyp der iPods, iPhones und iPads. Die Hackervereinigung gibt an, insgesamt 12 Millionen dieser eindeutigen iOS-Kennnummern und weitere private Daten (Postadresse, Telefonnummer, etc.) zu besitzen. Laut eigener Angaben stammt der Datensatz (‘NCFTA_iOS_devices_intel.csv’) von einem kompromittierten FBI-Computer. Medienberichten zufolge konnte die Authentizität ausgewählter UDIDs bestätigt werden.

Eine UDID ist eine fest vergebene Kennziffer, die ein iOS-Gerät eindeutig identifiziert aber keine privaten Daten enthält. Die Identifikationsnummer des eigenen iPhones oder iPads lässt sich über iTunes einsehen.

IPhoneBlog de Identifier

Das Missbrauchspotenzial dieser individuellen Kennung nutzten Werbeanbieter und App-Store-Entwickler in der Vergangenheit in großem Umfang aus.

We know that UDIDs are very widely used – in a sample of 94 apps I tested, 74% silently sent the UDID to one or more servers on the Internet, often without encryption.

Apple setzte den UDID-Zugriff im vergangenen Herbst auf die API-Abschussliste und verteilte im März 2012 erste App-Store-Ablehnungen für Programme, die weiterhin darauf zugreifen. Mit iOS 6 ändert Apple sein bisheriges Design(-Problem), das im (gedankenlosen) Umgang auf Seiten von App-Store-Anbietern zu haarsträubenden Geschichten führte.

I looked at all the gaming social networks on IOS – basically OpenFeint and its competitors – and found catastrophic mismanagement by nearly everyone. The vulnerabilities ranged from de-anonymization, to takeover of the user’s gaming social network account, to the ability to completely take over the user’s Facebook and Twitter accounts using just a UDID.

Neben den Datenschutzschäden ist der Umgang von Dritten mit den gesammelten UDIDs und einer möglichen Verknüpfung an andere Datenbanken und soziale Netzwerke ein schwierig einzuschätzendes Sicherheitsproblem.

  • Markus (motu90)

    Es war Apple’s größter Fehler, diese UDID jemals in einer derart offensichtlichen Form erkennbar zu machen. Selbstverständlich braucht es eine Seriennummer, allerdings sollte diese nicht auf Programmebene, und schon garnicht für weitere Zwecke verwendet werden können! Warum ist die eindeutige Zuordnung nicht beispielsweise via. iTunes-ID geschehen?
    Dass diese Daten jetzt (teilweise) offenliegen ist ein Skandal, auch wenn man noch nicht abschätzen kann, welche genauen Folgen es haben wird. Dennoch ist es ein Rätsel, warum das FBI einen derartigen Datensatz besitzt, und weshalb dieser auch noch via Hack angreifbar ist. So ein Computer hat gefälligst keinen Internetzugang zu besitzen!

    • jojoschi


      So ein Computer hat gefälligst keinen Internetzugang zu besitzen!”
      Absolut. Und wenn schon, dann sollten darauf nicht so anfällige Programme wie Java installiert sein. Wahrscheinlich lief auf der Kiste auch noch Win XP ohne Service Pack ;-)

  • http://www.appleoutsider.de/ AppleOutsider.de – Sebastian P

    Ich denke mal die UDID steckte auch hinter dem Rätsel warum auf einmal Programme mit chinesischer Beschreibung an der Spitze der AppStore-Charts standen Anfang des Jahres. Der Grund warum das nie eine große Geschichte geworden ist, dass wir alle keine Ahnung haben, was mit den IDs möglich ist.

    Ich gebe zu auch ich habe davon keine Ahnung und kann nicht einschätzen, ob man damit wirklich InApp-Käufe tätigen kann oder ob es möglich ist, einen Facebook-Account zu übernehmen, aber wenn das alles so stimmt wie der verlinkte Artikel beschreibt ist es glaube ich nicht weit hergeholt dass man damit dann auch InApp-Käufe tätigen kann wenn man vielleicht die in den Datensätzen vorhandenen Informationen (Wohnort, Name, Vorname, E-Mail-Adresse) mit einer Passwortdatenbank verbindet (Wörterbuchattacke).

    Aber das ist alles Hypothese, ich weiß das nicht und frage mich das nur. Es bleibt wirklich nur die Tatsache dass damals diese chinesischen Apps oben waren in den Ranglisten und dass dies durch InApp-Käufe passierte. Damals hat Apple gesagt das läge alles an nicht ausreichend starken iTunes-Passwörtern aber möglicherweise war es ja auch ein UDID-Problem. Ich wüsst jedenfalls nicht warum man das System auf einmal ändert wenn es nicht Probleme damit gegeben hätte. Und die Appstore-Rangliste ist die einzige Stelle wo ich selbst was gesehen habe. Ich sitz bei Apple ja nicht an der Hotline…

  • Stefan

    Es sollte vielmehr hinterfragt werden, warum das FBI eine derartige Sammlung in diesem Umfang angelegt hat? Das ist der eigentliche Skandal. Hier ist mal wieder eine Regierungsbehörde der Datensammelwut verfallen, ohne das dahinter konkrete kriminelle Vorgänge zu vermuten sind.

    • Marc

      Genau DAS dachte ich auch gerade… Es wird breit diskutiert, das die Daten “weg” sind und munter spekuliert, was damit alles angestellt werden kann, der eine odere andere fragt sich, auf welchem Weg sich die Hacker Zugriff verschafft haben aber kaum jemand denkt eben darüber nach, wieso zum Henker das FBI überhaupt eine entsprechende Datei hatte und wie das FBI überhaupt an all die Daten kam…

  • Pingback: App-Store-Verleger lässt sich UDIDs klauen – iPhoneBlog.de()

  • Pingback: Hackergruppe klaut bei FBI 1 Million UDIDs | iPhoneBlog | last update: 6. September 2012()

iPhoneBlog–Social

Sponsorship

Support

App Store

Wer eine beliebige iPhone-App im App Store über diesen Link kauft, seinen Mac mit Software aus dem Mac App Store beglückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Flattr verteilt Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!

Archiv

Gastfreundschaften