Belangrijk: Voor het goed functioneren van nrc.nl maken wij gebruik van cookies (meer informatie).
Hiervoor hebben wij wel eerst je toestemming nodig. Klik op de groene knop als je hiermee akkoord gaat.

iPhone UDID lek: hackers hacken hackers

12 sept

De gegevens van 12 miljoen iPhone- en iPad-gebruikers zijn gestolen, net voordat Apple op 12 september de nieuwe iPhone presenteert.

door

AntiSec, een groep anonieme hackers, heeft een lijst met gegevens van zo’n miljoen iPhone en iPad-gebruikers openbaar gemaakt. In het document staan ook enkele duizenden Nederlandse namen. De hackers zeggen de gegevens in maart gestolen te hebben van een laptop van een Amerikaanse FBI-agent.

Het oorspronkelijke document zou data van 12 miljoen gebruikers bevatten. Het gaat onder meer om de UDID-code (Unique Device Identifier) die elk mobiel Apple-apparaat onderscheidt,  als een extra soort serienummer. Daarnaast zouden er ook  adresgegevens en telefoonnummers vermeld staan. In het ‘bewijsmateriaal’ dat AntiSec online zette, zijn dergelijke persoonlijke gegevens verwijderd. Nederlandse gebruikers hebben inmiddels bevestigd dat hun gegevens in de lijst staan.

An sich verklapt de UDID-code weinig tot niets over de gebruiker van de telefoon of tablet. Wel zouden kwaadwillenden adres- en telefoonnummer kunnen gebruiken voor identiteitsdiefstal. Maar het is niet zozeer de privacygevoeligheid van de informatie , als wel de omvang van de lijst waarmee dit datalek zich onderscheidt.

Hackers of hoax?

Waar komen de gegevens vandaan? Als klopt wat AntiSec beweert, heeft Apple iets uit te leggen over de manier waarop het zijn klanten beschermt. Amerikaanse technologiebedrijven moeten gegevens van gebruikers overhandigen aan opsporingsinstanties als daar een wettelijke reden voor is. Maar dat gaat om individuele gevallen, niet om lijsten van miljoenen gebruikers, 12.367.232 om precies te zijn. AntiSec zegt geen aanwijzingen te hebben over de herkomst van de lijst, maar de naam van het document verwijst naar agenten die cybercrime bestrijden. Volgens Security.nl zou het gaan om een phishingactie tegen opsporingsinstanties, waaronder het Nederlandse Team High Tech Crime.

De vraag is of Apple de gegevens willens en wetens ter beschikking heeft gesteld aan de FBI (vooropgesteld dat AntiSec de gegevens inderdaad van een FBI-laptop haalde). Andere optie: de data is zonder medeweten van de fabrikant ergens vandaan geplukt.  Of de gegevens zijn verzameld door een iOS-app die behalve de UDID-code ook om contactgegevens van miljoenen klanten vroeg. In dat geval zou het vermoedelijk een gratis app zijn, gezien het grote aantal gebruikers. Wellicht is er een database van een advertentienetwerk gekraakt om bij de gegevens te komen. In dat geval zijn de hackers gehackt door andere hackers.

Maar de ervaring leert dat het ook om een hoax kan gaan: nog niet zo lang geleden werd een gestolen database van webwinkel Babydump misbruikt om de suggestie te wekken dat er bij KPN klantengegevens gelekt waren. In dat geval zou de FBI-link verzonnen zijn en is de lijst ‘gewoon’ ergens gejat. Minstens zo vervelend, maar minder spectaculair dan op afstand inbreken op de laptop van een agent die cybercrime bestrijdt.

UDID-aanvraag wordt al geblokkeerd

UDID wordt gebruikt door ontwikkelaars nieuwe apps te laten testen op specifieke iPhones en iPads (voor zogeheten ad-hoc installaties). Maar de code wordt ook gebruikt als een soort cookie, om bezitters van een iPhone te herkennen. Advertentienetwerken maken daar bijvoorbeeld gebruik van om terugkerende bezoekers te identificeren. Apple wil van de UDID-code af en is begonnen software uit zijn App Store te weren die de code opvragen.

AntiSec publiceerde behalve de UDID ook een nog een aparte identificatiecode voor zogeheten push-berichten die automatisch naar elke iPhone of iPad gestuurd kunnen worden. De lijst met 1 miljoen namen is te vinden op pastebin, en daar staat ook een gebruiksaanwijzing om het versleutelde document te decoderen.

Om te controleren of je nummer te vinden is, kun je deze tool van The Next Web gebruiken.

uit de begeleidende tekst van de AntiSec-hackers:

 

there you have. 1,000,001 Apple Devices UDIDs linking to their users and their APNS tokens. the original file contained around 12,000,000 devices. we decided a million would be
enough to release. we trimmed out other personal data as, full names, cell numbers, addresses,
zipcodes, etc.
not all devices have the same amount of personal data linked. some devices contained lot of info. others no more than zipcodes or almost anything. we left those main columns we consider enough to help a significant amount of users to look if their devices are listed there or not. the DevTokens are included for those mobile hackers who could figure out some use from the dataset.

We never liked the concept of UDIDs since the beginning indeed. Really bad decision from Apple. fishy thingie. so the big question: why exposing this personal data?
well we have learnt it seems quite clear nobody pays attention if you just come and say ‘hey, FBI is using your device details and info and who the fuck knows what the hell are they experimenting with that’, well sorry, but nobody will care. FBI will, as usual, deny or ignore this uncomfortable thingie and everybody will forget the whole thing at amazing speed. so next option, we could have released mail and a very small extract of the data. some people would eventually pick up the issue but well, lets be honest, that will be ephemeral too.

 

 

Geplaatst in:
privacy
veiligheid
Lees meer over:
apple
hack
idid
ipad
iphone