Een groep hackers, beter bekend onder de naam Antisec, heeft gisterenavond een miljoen UDIDs van iOS apparaten vrijgegeven. UDID is de afkorting van ‘Unique Device Identifier’ en zorgt er eigenlijk voor dat jouw device herkent wordt tussen alle andere iDevices. De hackers kwamen aan de info via een bestand op een FBI laptop.

Tijdens de tweede week van maart 2012 werd de Dell Vostro notebook van Supervisor Special Agent Chrisopher K. Stangl gehackt. Voor die hack werd gebruik gemaakt van de AtomicReferenceArray, een onveiligheid in Java. Een bestand, genaamd ‘NCFTA_iOS_devices_intel.csv’, kwam hierdoor in handen van Antisec. In dit bestand vonden de hackers een lijst van meer dan 12 miljoen iOS apparaten met inbegrip van hun UDID, gebruikersnaam, naam van het toestel, type van het toestel, Apple push notificaties, postcodes, telefoonnummers, adressen, en dergelijke meer. Persoonlijke informatie, die verwijzen naar bepaalde mensen, waren vaak niet ingevuld. Hierdoor is de lijst op veel vlakken onvolledig te noemen.

MacRumors bevestigt authenticiteit

Antisec heeft 1 miljoen van deze records vrijgegeven maar verwijderde de meeste persoonlijke informatie vòòr deze release. In de laatste post kon je enkele UDIDs, push notificaties, namen van toestellen en het toesteltype zien. MacRumors heeft reeds bevestigd dat het gaat om ‘echte’ UDIDs!

Wie kwam met deze informatie?

Het is niet helemaal duidelijk wie de bron precies is. Het datatype is specifiek voor het soort informatie dat een iOS app ontwikkelaar zou verzamelen om push berichten te versturen naar gebruikers. Het lijkt er dus op dat een Applicatie ontwikkelaar de bron is achter deze informatie. Dit werd echter nog niet bevestigd.

Momenteel is er nog geen snelle manier om te weten of de UDID van jouw apparaat in de lijst te vinden is. Het enige wat je momenteel kan doen is de lijst zelf downloaden. Tevens is het nog niet meteen duidelijk of er gevolgen zijn voor mensen die hun UDID in deze lijst terugvinden. Met de UDIDs zelf kan je op zich weinig doen.

Apple lag in het verleden al eens onder vuur voor het gebruik van deze identificatiemethode. Het schenden van de privacy kan slechts gebeuren als de hackers meer info hebben van de gebruiker zoals aangekochte apps en interesses. Zo krijgen ze een completer beeld van de gebruiker. In 2011 werd gezegd dat door gebruik te maken van reeds bestaande netwerken, informatie en zelfs logingegevens kunnen worden bemachtigd via UDIDs. Het is echter nog onduidelijk of ook push tokens gebruikt kunnen worden op welke manier dan ook.