Sep 4: Hacker erbeuten iOS Geräte-IDs und weitere Daten [UPDATE]
Obwohl mobile Apple-Geräte in der Regel deutlich sicherer sind als die der Konkurrenz, ist man nie ganz vor einem Leck gefeit. Bestes Beispiel hierfür ist die heutige Veröffentlichung von einer Million Geräte-IDs (UDID), Benutzernamen, Adressen und Push-Tokens durch die Hacker-Gruppe AntiSec. Diese sollen von einem Laptop des FBI Supervisor Special Agent Christopher Stangl vom regionalen Cyber Action Team von New York stammen. Der Angriff auf das System soll schon Mitte März stattgefunden haben und wurde über eine Java-Sicherheitslücke realisiert. Dieses Problem kann Apple freilich nicht auf seine Kappe nehmen. Für die betroffenen User ist dies dennoch mehr als ärgerlich. Abgesehen davon, dass man mit der UDID und grundsätzlich auf den Push-Tokens als solches nicht wirklich viel anfangen kann, sind die anderen Daten schon deutlich privater. Apple unterbindet bereits seit gut einem Jahr die Verwendung von UDIDs zur Geräteidentifizierung für AppStore-Neueinreichungen, um eine Nachverfolgung der Apps und eine Identifizierung der Benutzer zu verhindern. Offizielle Stellungnahmen von Apple und dem FBI stehen aktuell noch aus. Allerdings ist fraglich, ob dies den betroffenen Benutzern auch wirklich weiterhelfen würde. Panikmache ist sicherlich nicht angesagt, zumal die Datensätze wohl nicht vollständig sind. Wirklich beruhigend ist die Meldung allerdings auch nicht.
Wer mag, kann mithilfe eines Teswerkzeugs auf der Webseite Kimosabe.net überprüfen, ob die eigene UDID auf der entwendeten Liste stand. Selbstverständlich ist auch bei solchen Angeboten Vorsicht geboten, da nicht sichergestellt werden kann, was mit der eingegebenen UDID dort geschieht. Um die eigene Gerätekennung herauszufinden, geht man auf die Infoseite des verbundenen Geräts in iTunes und klickt dort im oberen Bereich auf die Seriennummer, woraufhin die UDID erscheint. Über den Kopieren-Shortcut auf der Tastatur lässt sich diese ID dann in die Zwischenablage verfrachten, von wo aus sie in das oben verlinkte Formular geschubst werden kann.
UPDATE: Das FBI hat inzwischen dementiert, dass die entwendeten Daten von einem Laptop eines seiner Mitarbeiter entwendet wurde: "The FBI is aware of published reports alleging that an FBI laptop was compromised and private data regarding Apple UDIDs was exposed. At this time there is no evidence indicating that an FBI laptop was compromised or that the FBI either sought or obtained this data."
Nachdem vorgestern bekannt wurde, dass es der Hacker-Gruppe AntiSec gelungen ist, eine umfangreiche Liste mir verschiedenen Daten von iOS-Geräten (darunter die UDID, Benutzernamen, Adressen und Push-Tokens) zu erbeuten und diese im Internet einsehbar war,
Aufgenommen: Sep 06, 08:00
Den letzten Artikel zu den durch eine Hacker-Gruppe gestohlenen und im Internet veröffentlichten UDIDs und weiteren Daten, die von iOS-Geräten stammten hatte ich mit der Zusammenfassung geschlossen: "Apple hat keinerlei Daten an das FBI weitergegeben
Aufgenommen: Sep 11, 07:08