FBI dementiert Besitz der Liste von iOS-Gerätenummern
Die in Auszügen veröffentlichte Liste mit UDIDs von 12 Millionen iOS-Geräten stammt nach Angabe des FBI nicht von der Behörde – man habe diese Daten nie besessen. Ein Sicherheitsforscher hält die Veröffentlichung für eine Datenschutz-Katastrophe.
Die amerikanische Ermittlungsbehörde FBI ist Vorwürfen der Hackergruppe AntiSec entgegengetreten, man habe im großen Maßstab Daten von iOS-Nutzern gesammelt. Es gebe zu diesem Zeitpunkt keinen Anhaltspunkt dafür, dass ein FBI-Laptop kompromittiert wurde. Die Bundespolizei bestritt außerdem, diese Daten "gesucht oder erhalten zu haben". Per Twitter dementierte die Ermittlungsbehörde, diese Informationen jemals besessen zu haben, und bezeichnete die Vorwürfe als "völlig falsch". Der Twitter-Account AnonymousIRC, der am Dienstag die Veröffentlichung der Liste bekanntgegeben hatte, entgegnete dem FBI: "Bevor ihr zu viel dementiert, bedenkt, dass wir noch auf weiteren 3 TByte an Daten sitzen".
AntiSec hatte am Dienstag einen Auszug einer großen Datei veröffentlicht, in der sich insgesamt angeblich mehr als zwölf Millionen Unique Device Identifier (UDID) von iPhones, iPads und iPod touches befinden. In den Datensätzen stehen auch die Gerätenamen (beispielsweise "Max Mustermanns iPhone") sowie die Gerätetypen (zum Beispiel "iPad"). Der ursprüngliche Datensatz habe teils zusätzliche Angaben wie Telefonnummern und Adressen der Nutzer aufgeführt, schrieb die Hackergruppe.
Die Datei mit dem Namen "NCFTA_iOS_devices_intel.csv" habe man vom Laptop eines FBI-Mitarbeiters erbeutet, der im Regional Cyber Action Team in New York arbeite. NCFTA ist die Abkürzung für die US-amerikanische Non-Profit-Organisation National Cyber-Forensics & Training Alliance, hinter der unter anderem das FBI, einige universitäre Computersicherheits-Organisationen (CERT) sowie Partner aus der Industrie stehen.
Der Sicherheitsforscher Aldo Cortesi, der sich ausgiebig mit Problemen der UDID auseinandergesetzt hat, bezeichnet die Veröffentlichung der Liste als eine "Datenschutz-Katastrophe". Die Schwachstellen, die er beispielsweise im vergangenen Jahr bei Spielenetzwerken festgestellt hatte, seien nur die Spitze des Eisberges – in Kenntnis einer UDID ließen sich dort unter anderem Benutzernamen, E-Mail-Adressen und Social-Network-Accounts auslesen. Einige dieser Firmen hätten noch immer unbeseitigte Problemstellen, warnt Cortesi.
Von Apple liegt zu der Angelegenheit weiterhin keine Stellungnahme vor. (lbe)