Hackergruppe veröffentlicht eine Million iOS-Geräte-IDs
AntiSec stellt eine Liste zum Download bereit, die über eine Million UDIDs von Apple-Geräten umfasst. Der Datensatz entstammt angeblich dem Computer eines FBI-Mitarbeiters und enthielt ursprünglich zwölf Millionen Geräte-IDs mit weiterführenden Angaben.
Mitglieder des losen Hacktivisten-Kollektivs AntiSec haben am Dienstag über den Twitter-Account @AnonymousIRC Downloadlinks veröffentlicht, die zu einer Datei mit einer Million iOS-Geräte-IDs führen. Neben den Seriennummern, den sogenannten Unique Device Identifiers (UDID), enthält die Liste auch die zugehörigen Tokens von Apples Push-Benachrichtigungsdienst, die Gerätenamen (beispielsweise “Max Mustermans iPhone”) sowie die Gerätetypen (beispielsweise “iPad”).
Diese UDID-Liste entstammt angeblich dem Laptop eines FBI-Mitarbeiters – die Hacker erhielten nach eigenen Angabe durch eine Java-Schwachstelle Zugriff und luden unter anderem die Datei “NCFTA_iOS_devices_intel.csv” aus dem Desktop-Ordner herunter. Darin fanden sich neben mehr als 12,3 Millionen UDIDs in vielen Fällen auch Nutzernamen, Mobilnummern, Adressen und Postleitzahlen, schreibt AntiSec – diese Angaben habe man aus der jetzt veröffentlichten Liste entfernt. Es läge kein konkreter Hinweis darauf vor, zu welchem Zweck der FBI-Mitarbeiter diese Liste führte, merken die Hacker an.
App-Entwickler und Werbenetzwerke nutzen die UDID gewöhnlich, um einzelne Nutzer zu identifizieren und deren App-Nutzung zu ermitteln. Spielenetzwerke griffen in der Vergangenenheit auf den Identifier zurück, um Nutzern die Anmeldung zu vereinfachen. Einem Sicherheitsforscher gelang es im September 2011, durch Kenntnis einer UDID verschiedenen Diensten dort hinterlegte Nutzerinformationen, darunter E-Mail-Adressen, Freundeslisten und – falls vorhanden – auch die Benutzernamen verbundener sozialer Netzwerke wie Facebook und Twitter zu entlocken.
Apple hatte Entwickler vor gut einem Jahr warnend darauf hingewiesen, die Verwendung der UDID einzuschränken und auf Alternativen auszuweichen – seit Frühjahr 2012 verweigert der iPhone-Hersteller Apps die Zulassung zum App Store, die weiterhin die Geräte-ID abfragen. Ab iOS 6 wird es stattdessen zwei Arten von Identifiern geben: einen für App-Entwickler und einen speziell für Werbezwecke. Beide können im Gegensatz zur UDID bei Bedarf vom Nutzer neu generiert werden.
Man habe feste Geräte-IDs schon immer für eine "richtig schlechte Idee" gehalten, schreibt AntiSec. Dies sei auch ein Grund für die Veröffentlichung des Datensatzes; zudem vermute man, dass das FBI derartige Listen zur Überwachung nutze. Wie das FBI zu dieser UDID-Liste gelangt ist, bleibt unklar. Apple dürfte seit 2007 rund 400 Millionen iOS-Geräte verkauft haben. Eine Stellungnahme des Unternehmens zur Veröffentlichung das Datensatzes liegt bislang nicht vor.
[Update 05.09.2012 8:10]:
Das FBI dementierte mittlerweile, dass die Daten von einem FBI-Mitarbeiter stammen. Man kenne die Berichte, dass in einen FBI-Laptop eingebrochen und private Daten zu UDIDs von iOS-Geräten veröffentlicht worden seien: "Zur Zeit gebe es keine Anzeichen dafür, dass ein FBI-Laptop kompromittiert worden sei." Auch habe das FBI Daten über die UDIDs von IOS-Geräten und zugehörge Nutzerangaben weder gesucht noch erhalten. (lbe)
