1.000.001 UDIDs von iOS Geräten veröffentlicht [UPDATE] Alles gelogen!
Wie man heute überall berichtet hat Anonymous beziehungsweise Antisec nach eigener Aussage 1.000.001 UDIDs von iOS Geräten veröffentlicht. Diese stammen aus einer Datei mit 12 Millionen UDIDs, welche von einem FBI-Notebook gestohlen wurden. Bereits in der zweiten Märzwoche diesen Jahres soll Anonymous Zugriff auf das Dell-Vostro Notebook eines FBI-Agenten erhalten und dabei die Datei entwendet haben. Dies geschah wohl über eine Sicherheitslücke in Java. Unter den entwendeten Daten befand sich eben auch eine Datei namens "NCFTA_iOS_devices_intel.csv", welche laut Anonymous 12,37 Millionen Datensätze zu iOS-Geräten enthält. Die Daten umfassen hierbei die Unique Device Identifiers (UDID) des Gerätes, Nutzernamen, Gerätenamen, Tokens für Apples Push Notification Service, Postleitzahlen, Telefonnummer, Adressen und weitere Daten. Die Daten sollen jedoch unvollständig sein. Die Datei enthält neben den UDIDs die Gerätenamen, hier verwenden viele iOS-Nutzer ihren eigenen Namen (z. B. Hansi Jungs iPhone), so dass sich hier eine Zuordnung zwischen UDID und Namen ableiten lässt. Es lassen sich außerdem noch weitere Informationen über die UDID in Erfahrung bringen. Der Sicherheitsexperte Aldo Cortesi zeigt beispielsweise, wie sich über Openfeint Daten zu einer UDID abfragen lassen. Openfeint ist jedoch nicht der einzige Anbieter, der Nutzerdaten anhand einer UDID herausgibt. So ist es außerdem möglich, auch mit Spieleraccounts verknüpfte Facebook- und Twitter-Profile, GPS-Daten und E-Mail-Adressen zu erhalten,schrieb Cortesi im September 2011. Mit den jetzt verfügbaren UDIDs verschärft sich das Problem, das von solchen kaum geschützten Datensammlungen ausgeht.
Die UDID ist an das jeweilige iOS-Gerät gebunden und kann nicht geändert werden. Apple rät mittlerweile von der Nutzung der UDID ab, die entsprechenden APIs sind in iOS 5 als veraltet markiert und dürften in Zukunft wegfallen. Viele Anbieter von iOS-Apps nutzen die UDID, um darauf basierende Nutzerprofile zu erstellen, doch wie sich zeigt, ist die UDID keineswegs so anonym, wie von vielen angenommen.
[via]
[Update, 11.09.2012] Wie man hier berichtet, war die ganze Aktion nur gelogen. Die Daten stammen nicht von einem FBI Rechner.