Hackers wyciek 1 milion Apple UDID rzekomo skradzionych z laptopa FBI

Grupa hakerów opublikowała plik zawierający unikatowe dane identyfikacyjne dla ponad miliona urządzeń Apple iOS i twierdzi, że informacje te są częścią większej bazy danych wykradzionej z zaatakowanego komputera laptop agenta FBI.

"W drugim tygodniu marca 2012 r. notebook Dell Vostro, używany przez specjalistę od nadzoru, Christophera K. Stangla z FBI Regional Cyber ​​Action Team i nowojorski FBI Office Evidence Response Team, został naruszony przy użyciu AtomicReferenceArray w Javie, "hakerzy, którzy twierdzili, że przynależą do Anonymous i jego kampanii Antisec Operation, powiedział w poniedziałek w oświadczeniu opublikowanym na Pastebin.

" Podczas sesji powłoki niektóre pliki s zostały pobrane z jego folderu na Pulpicie ", powiedzieli hakerzy. "Jedną z nich o nazwie" NCFTA_iOS_devices_intel.csv "okazało się lista 12 367 232 urządzeń Apple iOS, w tym unikalne identyfikatory urządzeń (UDID), nazwy użytkowników, nazwa urządzenia, typ urządzenia, tokeny usługi Apple Push Notification Service, kody zip, numery telefonów komórkowych, adresy itp. "

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Jako dowód, hakerzy wydali uproszczoną wersję tego pliku, która zawierała tylko milion UDID, wraz z powiązanymi Tokeny usługi Apple Push Notification Service i nazwy urządzeń. Pozostałe dane osobowe, które towarzyszyły wielu identyfikatorom UDID, zostały celowo usunięte, jak powiedzieli hakerzy.

FBI odmówiło komentarza w sprawie domniemanego naruszenia bezpieczeństwa.

Jednak wyciekły identyfikatory UDID - losowo wyglądające kody składające się z liter i numery, które są unikalne dla każdego urządzenia z systemem iOS - wydają się być autentyczne.

"Potwierdziłem trzy z moich urządzeń w wyciekanych danych," Peter Kruse, specjalista od przestępstw elektronicznych w duńskiej firmie ochroniarskiej CSIS Security Group, powiedział wtorek na Twitterze.

Kontrola losowej próbki UDID przy użyciu publicznie dostępnego API (interfejsu programowania aplikacji) OpenFeint, platformy społecznościowej dla gier na iOS, ujawniła, że ​​wiele z nich odpowiada urządzeniom, których właściciele mają odtwarzacz OpenFeint

Według analityka ds. bezpieczeństwa, Aldo Cortesiego, założyciela firmy Nullcube, zajmującej się doradztwem w zakresie bezpieczeństwa w Nowej Zelandii, wyciek UDID może mieć poważne konsekwencje dla prywatności.

W przeszłości Cortesi badał, jak UDIDs są nami ed przez twórców aplikacji i jakie informacje były z nimi powiązane.

W maju 2011 r. poinformował, że po dostarczeniu z UDID, API OpenFeint zwróciło współrzędne GPS i informacje, które mogą ujawnić profil Facebooka użytkownika.

In Wrzesień 2011 r. Poinformował, że inne popularne platformy do gier iOS mają podobne problemy z wyciekami danych. W jednym przypadku interfejs API platformy umożliwił nawet atakującym przejęcie konta użytkownika Facebooka i Twittera, znając tylko identyfikator UDID swojego urządzenia z iOS.

"Jest to dość przygnębiające, ale niektóre firmy wymienione w moich postach wciąż mają nieutwierdzone problemy (wszyscy zostali powiadomieni z dużym wyprzedzeniem o jakiejkolwiek publikacji) ", powiedział Cortesi w poście opublikowanym we wtorek w świetle nowego wycieku UDID, który opisał jako" katastrofę prywatności ".

" Jest wiele poważniejsze problemy wciąż nie zostały rozwiązane w sieciach społecznościowych, o których mówiłem, ale chciałbym uniknąć opisywania ich bezpośrednio "- powiedział we wtorek Cortesi za pośrednictwem poczty elektronicznej. "Wiedziałem również o podobnych lukach w wielu aplikacjach innych niż gry."

Jednym z problemów jest to, że informacje o użytkownikach powiązane z identyfikatorami UDID zostały zebrane w tysiącach baz danych, które obecnie istnieją w całym Internecie, powiedział Cortesi . "Występuje tylko jeden wyciek lub incydent bezpieczeństwa w przypadku takich danych."

"Często zdarza się, że twórcy aplikacji używają identyfikatora UDID jako pseudoidentyfikatora dla użytkowników, a następnie używają tego dla śledzenie i analizy ", powiedział Cortesi. "Rezultatem będzie baza danych UDID z niektórymi powiązanymi informacjami behawioralnymi."

Używanie identyfikatorów UDID zostało wycofane, ponieważ iOS 5.0 i Apple zaczęły odrzucać wysyłanie do sklepów App Store dla aplikacji uzyskujących dostęp do UDID od marca.

UDID był od początku złym pomysłem, a Apple powinno zdać sobie sprawę z implikacji prywatności, powiedział Cortesi. "Wierzę, że robią, co mogą, aby zmienić ekosystem aplikacji tak, by wykorzystywał UDID tak szybko, jak to tylko możliwe."

Apple nie zwrócił prośby o komentarz dotyczący wycieku 1 milion UDID.

(Jeremy Kirk z Sydney przyczynił się do tego raportu.)