AntiSec ergattert sich 12 Millionen UDIDs – Was der UDID-Hack bedeutet

Gestern meldete die Gruppe «AntiSec», dass sie durch den Hack eines FBI-Computers in den Besitz von 12 Millionen Datensätzen gekommen ist. Dabei handelte es sich um die UDID (Unique Device Identifier), mit welcher jedes iOS-Gerät über eine 40-stellige Buchstaben-Ziffernkombination eindeutig identifiziert werden kann. Mit diesen UDIDs verknüpft sind gemäss den Hackern auch andere Daten wie der Username, der Gerätename, der Gerätetyp, Informationen zu den Apple Push Notifications, die Postleitzahl, die Mobiltelefonnummer und die persönliche Adresse. Insgesamt sind die Hacker gemäss eigenen Angaben im Besitz von Daten im Umfang von 3TB.

Das FBI twitterte daraufhin über den behördeneigenen Twitter-Account, dass bei ihnen kein Computer gehackt wurde. Man auch nicht im Besitz solcher Daten.

Der Frage, welche Bedeutung die UDID hat, ging auch Kyle Wagner von Gizmodo nach. Die Nummer sei wie bereits beschrieben eine reine Identifikationsnummer, mit welcher jedes iOS-Gerät eindeutig zugeordnet werden kann. Mit Hilfe dieser Identifikation kann eine App die Vorlieben eines Nutzers speichern. Dadurch können Apps besser personalisiert werden. Hersteller von Apps können die UDID auch dazu benutzen, um ein schnelles Login zu ermöglichen oder gewisse Einstellungen zu speichern.

Falls jemand Zugang zu allen Datenbanken aller Apps hätte, in welcher UDIDs mit anderen Informationen verknüpft sind, könnten auch alle Daten von Nutzern geladen und entsprechend verknüpft werden. Damit könnte man Zugang zum digitalen Leben des Nutzers erlangen. Der oben beschriebene Hack hingegen bezieht sich lediglich auf eine oder einige wenige Datenbanken. Dabei konnten die Hacker nach eigenen Angaben eine Fülle von Daten abgreifen (wie erwähnt unter anderem Postleitzahl, persönliche Adresse und Gerätetyp). Nicht vorhanden sind jedoch E-Mail-Adressen und Passwörter — dies wären die wirklich prekären Daten, welche den Zugang zum digitalen Leben sicherstellen.
Der Hack soll damit nicht verharmlost werden. Mit der Publikation und eindeutigen Zuordnung der Daten würden die Persönlichkeitsrechte der Nutzer massiv verletzt.

Die Hacker von AntiSec wollen die Daten auf «pastebin.com» gestellt haben, um gegen das Ausspionieren der UDID durch iOS-Programme zu demonstrieren. Von den Hackern unerwähnt blieb der Umstand, dass Apple diese Sicherheitslücke bereits im Frühjahr 2012 schloss und Anwendungen, welche ungefragt auf die UDID zugreifen, nicht mehr zulässt.

Mit dem Launch von iOS 6 führt Apple zwei separate UDIDs ein. Eine ist lediglich für Werbenetzwerke bestimmt und die andere ist für Entwickler vorgesehen. Auf Wunsch können beide Kombinationen neu generiert werden, was die Sicherheit deutlich erhöhen würde.

Von Patrick Bieri
Veröffentlicht am

Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen

1 Kommentar

Kommentar von lisapower

Mit dem Launch von iOS 6 führt Apple zwei separate UDIDs ein. Eine ist lediglich für Werbenetzwerke bestimmt und die andere ist für Entwickler vorgesehen. Auf Wunsch können beide Kombinationen neu generiert werden, was die Sicherheit deutlich erhöhen würde.

Was die Sicherheit deutlich erhöhen würde. Wer da nicht lachen muss.

Neue ID’s = Neue Angriffsmöglichkeiten & Angriffspunkte.

Anmelden um neue Kommentare zu verfassen

Allegra Leser! Nur angemeldete Nutzer können bei diesem Inhalt Kommentare hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.