Hackers halen ruim 12 miljoen iOS toestel-ID’s van FBI-laptop

AntiSec heeft een FBI-bestand met gegevens van ruim 1 miljoen iOS UDID's en persoonlijke gegevens onderschept. In totaal stonden 12 miljoen iOS-apparaten op de FBI-laptop.
Gonny van der Zwaag - · Laatst bijgewerkt:

dell vostroHackers van AntiSec hebben de gegevens van 1.000.001 unieke iPhone- en iPad-ID’s laten lekken. De gegevens zouden afkomstig zijn van een gehackte laptop van een FBI-agent, waarop ruim 12 miljoen UDID’s (Unique Device Identifiers) inclusief persoonlijke informatie waren aangetroffen. In totaal gaat het om ID’s van 12.367.232 iPhones en iPads, waarvan AntiSec nu een lijst van 1 miljoen stuks heeft vrijgegeven, om te bewijzen dat ze over de data beschikken. Om de grootte van de hack duidelijker te maken: Apple liet in juni van dit jaar weten dat er in totaal 365 miljoen iOS-apparaten zijn verkocht, dus er is een kans van 3% dat jouw iPhone erbij zit.

De gegevens werden in de tweede week van maart 2012 binnengehaald van een Dell Vostro-laptop (zie foto). Die was eigendom van Supervisor Special Agent Christopher K. Stangl van het FBI Regional Cyber Action Team en het FBI Office Evidence Response Team in New York. De hackers zeggen toegang te hebben gekregen door de AtomicReferenceArray-kwetsbaarheid in Java. Daardoor konden de hackers een aantal bestanden downloaden, waaronder een bestand met de naam NCFTA_iOS_devices_intel.csv. Deze bleek een lijst van 12.367.232 Apple iOS-devices te bevatten, inclusief UDID, gebruikersnaam, naam van het apparaat, type apparaat, postcodes, mobiele telefoonnummers, adressen en Apple Push Notification Service-tokens. Het is nog een raadsel waarom de agent al deze informatie op zijn laptop nodig had en hoe het kan dat het bestand blijkbaar niet goed was beveiligd. Ontwikkelaars beschikken ook over een deel van deze data, om gebruikers bijvoorbeeld push notificaties te kunnen leveren.

Bij sommige UDID’s was alleen simpele persoonlijke data aanwezig, terwijl bij andere ook de volledige naam- en adresgegevens van gebruikers terug te vinden waren. AntiSec publiceerde een deel van de data, om aan te tonen dat ze daadwerkelijk over de gegevens beschikken. Ze lieten daarbij de persoonsgegevens achterwege, maar gaven wel de UDID, Apple Push Notification Service-token, apparaatnaam en apparaattype staan, zodat mensen kunnen kijken of hun iOS-toestel in de lijst staat. Mocht jouw iPhone niet in de lijst staan, dan is er natuurlijk nog steeds kans dat hij wel in tussen de overige 11 miljoen staat.

De lijst is online te vinden (instructies vanaf regel 309).

Update 1: De FBI heeft ontkend dat de informatie afkomstig is van een FBI-laptop. “We hebben deze informatie überhaupt nooit in handen gehad”, meldt de FBI.
Update 2: Apple heeft aangegeven dat ze de gegevens niet aan de FBI hebben geleverd. De FBI zou de gegevens bovendien niet bij Apple hebben opgevraagd.

The FBI has not requested this information from Apple, nor have we provided it to the FBI or any organization. Additionally, with iOS 6 we introduced a new set of APIs meant to replace the use of the UDID and will soon be banning the use of UDID,” Apple spokesperson Natalie Kerris told AllThingsD.

Update 3: Inmiddels is bekend dat de gegevens niet afkomstig zijn van de FBI, maar van appontwikkelaar BlueToad.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 10 september 2012, 19:14
Categorie Achtergrond
Onderwerpen beveiliging, privacy, udid

Reacties zijn gesloten voor dit artikel.