Mitglieder des losen Hacktivisten-Kollektivs AntiSec haben am Dienstag über den Twitter-Account @AnonymousIRC Links veröffentlicht, die zu einer Datei mit – die Daten entstammt angeblich dem Laptop eines FBI-Mitarbeiters – einer Million iOS-Geräte-IDs führen.
Neben den Seriennummern, den sogenannten Unique Device Identifiers (UDID), enthält die Liste auch die zugehörigen Tokens von Apples Push-Benachrichtigungsdienst, die Gerätenamen (beispielsweise “Max Mustermans iPhone”) sowie die Gerätetypen (beispielsweise “iPad”).
Die Hacker erhielten nach eigenen Angaben durch eine Java-Schwachstelle Zugriff und luden unter anderem die Datei “NCFTA_iOS_devices_intel.csv” aus dem Desktop-Ordner der FBI-Mitarbeiters herunter.
Darin fanden sich neben mehr als 12,3 Millionen UDIDs in vielen Fällen auch Nutzer-namen, Mobilnummern, Adressen und Postleitzahlen, schreibt AntiSec – diese Angaben habe man aus der jetzt veröffentlichten Liste entfernt. Es läge kein konkreter Hinweis darauf vor, zu welchem Zweck der FBI-Mitarbeiter diese Liste führte, merken die Hacker an.
App-Entwickler und Werbenetzwerke nutzen die UDID gewöhnlich, um einzelne Nutzer zu identifizieren und deren App-Nutzung zu ermitteln. Spielenetzwerke griffen in der Vergangenenheit auf den Identifier zurück, um Nutzern die Anmeldung zu vereinfachen.
Einem Sicherheitsforscher gelang es im September 2011, durch Kenntnis einer UDID verschiedenen Diensten dort hinterlegte Nutzerinformationen, darunter E-Mail-Adressen, Freundeslisten und – falls vorhanden – auch die Benutzernamen verbundener sozialer Netzwerke wie Facebook und Twitter zu entlocken.
Apple hatte Entwickler vor gut einem Jahr warnend darauf hingewiesen, die Verwendung der UDID einzuschränken und auf Alternativen auszuweichen – seit Frühjahr 2012 verweigert der iPhone-Hersteller Apps die Zulassung zum App Store, die weiterhin die Geräte-ID abfragen. Ab iOS 6 wird es stattdessen zwei Arten von Identifiern geben: einen für App-Entwickler und einen speziell für Werbezwecke. Beide können im Gegensatz zur UDID bei Bedarf vom Nutzer neu generiert werden.
Man habe feste Geräte-IDs schon immer für eine „richtig schlechte Idee“ gehalten, schreibt AntiSec. Dies sei auch ein Grund für die Veröffentlichung des Datensatzes; zudem vermute man, dass das FBI derartige Listen zur Überwachung nutze. Wie das FBI zu dieser UDID-Liste gelangt ist, bleibt unklar. Apple dürfte seit 2007 rund 400 Millionen iOS-Geräte verkauft haben. Eine Stellungnahme des Unternehmens zur Veröffentlichung das Datensatzes liegt bislang nicht vor.
Quellen: PRAVDA-TV/heise.de vom 04.09.2012