Hackergruppe veröffentlicht eine Million iOS-Geräte-IDs

[Baron]

Mitglieder des losen Hacktivisten-Kollektivs AntiSec haben am Dienstag über den Twitter-Account @AnonymousIRC Downloadlinks veröffentlicht, die zu einer Datei mit einer Million iOS-Geräte-IDs führen. Neben den Seriennummern, den sogenannten Unique Device Identifiers (UDID), enthält die Liste auch die zugehörigen Tokens von Apples Push-Benachrichtigungsdienst, die Gerätenamen (beispielsweise “Max Mustermans iPhone”) sowie die Gerätetypen (beispielsweise “iPad”).
Diese UDID-Liste entstammt angeblich dem Laptop eines FBI-Mitarbeiters – die Hacker erhielten nach eigenen Angabe durch eine Java-Schwachstelle Zugriff und luden unter anderem die Datei “NCFTA_iOS_devices_intel.csv” aus dem Desktop-Ordner herunter. Darin fanden sich neben mehr als 12,3 Millionen UDIDs in vielen Fällen auch Nutzernamen, Mobilnummern, Adressen und Postleitzahlen, schreibt AntiSec – diese Angaben habe man aus der jetzt veröffentlichten Liste entfernt. Es läge kein konkreter Hinweis darauf vor, zu welchem Zweck der FBI-Mitarbeiter diese Liste führte, merken die Hacker an.
.....
http://www.heise.de/security/meldung...s-1698373.html


Nur gut das Ios so Sicher ist....

[Christoph]

Zitat:

FBI dementiert Besitz der Liste von iOS-Gerätenummern

Die amerikanische Ermittlungsbehörde FBI ist Vorwürfen der Hackergruppe AntiSec entgegengetreten, man habe im großen Maßstab Daten von iOS-Nutzern gesammelt. Es gebe zu diesem Zeitpunkt keinen Anhaltspunkt dafür, dass ein FBI-Laptop kompromittiert wurde. Die Bundespolizei bestritt außerdem, diese Daten "gesucht oder erhalten zu haben". Per Twitter dementierte die Ermittlungsbehörde, diese Informationen jemals besessen zu haben, und bezeichnete die Vorwürfe als "völlig falsch". Der Twitter-Account AnonymousIRC, der am Dienstag die Veröffentlichung der Liste bekanntgegeben hatte, entgegnete dem FBI: "Bevor ihr zu viel dementiert, bedenkt, dass wir noch auf weiteren 3 TByte an Daten sitzen".

AntiSec hatte am Dienstag einen Auszug einer großen Datei veröffentlicht, in der sich insgesamt angeblich mehr als zwölf Millionen Unique Device Identifier (UDID) von iPhones, iPads und iPod touches befinden. In den Datensätzen stehen auch die Gerätenamen (beispielsweise "Max Mustermanns iPhone") sowie die Gerätetypen (zum Beispiel "iPad"). Der ursprüngliche Datensatz habe teils zusätzliche Angaben wie Telefonnummern und Adressen der Nutzer aufgeführt, schrieb die Hackergruppe.

Die Datei mit dem Namen "NCFTA_iOS_devices_intel.csv" habe man vom Laptop eines FBI-Mitarbeiters erbeutet, der im Regional Cyber Action Team in New York arbeite. NCFTA ist die Abkürzung für die US-amerikanische Non-Profit-Organisation National Cyber-Forensics & Training Alliance, hinter der unter anderem das FBI, einige universitäre Computersicherheits-Organisationen (CERT) sowie Partner aus der Industrie stehen.

Der Sicherheitsforscher Aldo Cortesi, der sich ausgiebig mit Problemen der UDID auseinandergesetzt hat, bezeichnet die Veröffentlichung der Liste als eine "Datenschutz-Katastrophe". Die Schwachstellen, die er beispielsweise im vergangenen Jahr bei Spielenetzwerken festgestellt hatte, seien nur die Spitze des Eisberges – in Kenntnis einer UDID ließen sich dort unter anderem Benutzernamen, E-Mail-Adressen und Social-Network-Accounts auslesen. Einige dieser Firmen hätten noch immer unbeseitigte Problemstellen, warnt Cortesi.

Von Apple liegt zu der Angelegenheit weiterhin keine Stellungnahme vor. (lbe)

Quelle: http://www.heise.de/newsticker/meldu...n-1699422.html

Was insgesamt zu erwarten war.

[Christoph]

Zitat:

UDIDs kamen nicht vom FBI

In der vergangenen Woche hatte Anonymous 1.000.001 UDIDs von iPhones veröffentlicht, doch diese stammen nicht wie von Anonymous behauptet vom FBI, sondern vom E-Book-Dienstleister Bluetoad, wie das Unternehmen einräumt.

Die vor einer Woche von Anonymous veröffentlichten UDIDs von iOS-Geräten stammen von Bluetoad, räumt das Unternehmen in einem Blogeintrag ein. Man sei vor etwas mehr als einer Woche Opfer eines kriminellen Cyberangriffs geworden, bei dem UDIDs gestohlen wurden, die danach im Internet veröffentlicht wurden.

Bluetoad hat nach eigenen Angaben umgehend die Sicherheitsbehörden informiert, nachdem das Unternehmen feststellte, dass es möglicherweise die Quelle der Daten ist. Zudem habe man, so Bluetoad, die für den Einbruch verantwortliche Sicherheitslücke geschlossen. Bereits vor einigen Monaten habe man die eigene Software entsprechend den Empfehlungen von Apple angepasst, so dass die Apps keine UDIDs mehr übermitteln. Die von noch nicht aktualisierten Apps weiterhin übertragenen UDIDs werden nun zudem nicht mehr gespeichert.

Bluetoad entschuldigt sich für den Fehler und gelobt Besserung. Das Unternehmen geht aber davon aus, dass sich mit den Daten nur wenig Schaden anrichten lässt.

Die von Anonymous aufgestellten Behauptungen erweisen sich damit als falsch: Weder wurden die Daten von einem FBI-Notebook gestohlen, noch geschah dies im März 2012, denn laut Bluetoad wurden die Daten innerhalb der vergangenen zwei Wochen gestohlen. Laut NBC war es der Sicherheitsexperte David Schuetz, der Bluetoad auf die mögliche Herkunft der Daten hinwies.

Quelle: http://www.golem.de/news/anonymous-u...209-94457.html