Von kompromittierten FBI-Rechnern: Hacker veröffentlichen eine Million iPhone-UDIDs [Update]
Update 13:30: Die Webseite Kimosabe.net bietet ein Test-Werkzeug an, über das geprüft werden kann, ob eure UDID unter den heute veröffentlichten war. Frederic Jacobs sammelt derweil Informationen zu den eingesetzten Applikationen um die Quelle der Veröffentlichung ausfindig zu machen.
Mehr als eine Million iPhone-UDIDs hat die Hacker-Gruppe AntiSec im Laufe der Nacht veröffentlicht und bietet die eindeutigen Geräte-Kennnummern hier zum Download an. Apple selbst hatte die registrierten iOS-Entwickler bereits im August 2011 dazu aufgefordert die UDIDs nicht mehr einzusetzen. Nach anhaltender Kritik wollte Cupertino ausschließen, einzelne iPhone-Nutzer über mehrere Applikationen hinweg zu identifizieren.
Die UDID – der Geräte-spezifische Fingerabdruck lässt sich unter anderem in iTunes einsehen – diente Entwicklern zur Verwaltung spezifischer Endgeräte und erlaubte die einfache Zuordnung von Benutzer-Accounts und iPhones. Vor allem Abo-Angebote die einen kostenlosen 2-Wochen Test anbieten, lasen in der Vergangenheit regelmäßig die UDID eures iPhones aus.
Seit heute lassen sich eine Million der 12 Zeichen langen UDIDs aus dem Netz laden. Nach Aussagen der Hacker-Gruppe wurden die Unique Device-IDs in der zweiten März Woche 2012 vom Dell-Notebook eines FBI-Mitarbeiters der Regional Cyber Action Teams New York entwendet.
[…] during the shell session some files were downloaded from his Desktop folder one of them with the name of „NCFTA_iOS_devices_intel.csv“ turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc.
Die UDIDs ermöglichen unter anderem die Nutzer-Zuordnung in Spiele-Netzwerken wie Open Feint, werden von zahlreichen Online-Diensten ausgelesen und wurden von Apple vor allem wegen ihrer datenschutztechnischen Implikationen zurückgezogen, wie diese Tabelle vom 9. September 2011 zeigt.
Demnach setzten viele Dienste-Anbieter zur Nutzer-Identifikation ausschließlich auf dem vom iPhone übertragene UDID und erlauben Fremden sowohl den Login als auch das Ändern von Nutzerdaten mit dem 12 Ziffern langen schlüssel.
5 of the 7 networks allow an attacker to log in as a user using only their UDID, giving the attacker complete control of the user’s account.
[…]
The outcome of this experiment shows that social gaming networks systematically misuse UDIDs, resulting in serious privacy breaches for their users. All the networks I tested allowed UDIDs to be linked to potentially identifying user information, ranging from usernames to email addresses, friends lists and private messages.
Na super und was kann man dagegen machen ?:/
leider nichts, ich bin zum Glück nicht betroffen :-)
Woher weißt?
Nana…
Sie haben über 12 Mio geladen aber nur 1 Mio veröffentlicht oder ?
…sag niemals nie… :-)
Vielleicht bist Du jetzt betroffen! Ich geb doch da nicht meine Kennung ein. Wer weiß was die damit machen
Genau so viel wie gegen Sonnenstürme^^
jailbreak + protect my privacy
so lässt sich die Übertragung zwar nicht umgehen, aber anonymisieren.
Ihr habt schon recht was das angeht. Aber ich denke nicht dass das FBI ihre bzw. unsere Daten aus irgendwelchen Apps zieht, die sich im AppStore befinden. Das geht viel einfacher ;)
Verkauf dein iPhone / Smartphone.
Wieder Nokia Banane zulegen.
Nichts, es sei denn du hast nen Jailbreak.
Installiere Protect My Privacy.
Jedes Mal wenn eine App die UDID anfordert, kannst du dann entscheiden, ob du das wirklich zulassen willst oder eine generierte Fake-UDID übermitteln möchtest. Die Abfrage wird gespeichert (für den nächsten Aufruf der App).
Überwacht wird auch der Zugriff auf deine Kontakte, die Ortung und Musikbibliothek, die du zulassen (wenn’s Sinn macht, z.B. Kontakte für Whatsapp) oder verbieten kannst.
Ich war geschockt wie gierig die meisten Apps sind! Die UDID wird fast immer abgefragt.
Jailbreak@ProtectMyPrivacy. Da kannst Du entscheiden ob die UDID gesendet werden , ob die App Dein Telefonbuch nutzen, auf Deine Musik zugreifen und ob die App GPS Daten versendet wersenden darf.
Einfach ein kleines progrämmchen installieren mit dem du das blockieren kannst … ;) cydia macht es möglich ;P
Also meins is nich dabei…
Glück gehabt…
Vergiss nicht, das sind nur eine Million UDIDs von zwölf.
Das stimmt, aber bei den anderen werd ichs nie wissen. außerdem weiß man nicht wie aktuell die liste ist.
ich hab jedenfalls alle UDIDs gecheckt, iPhone iPad, iPod vom Vater, iPhone von Schwester, iPhones der Kumpel… und natürlich die archivierten alten UDIDs von geräten, die ausgetauscht wurden.
Jetzt mal bitte helfen: wo steht denn was von 12 mio? Ich hab jetzt zweimal langsam den text gelesen, aber nirgends 12 mio gefunden…
Ah schon ok, war ja klar dass mir das NACH meinem Kommentar auffällt, wo es steht, also vergesst die Frage -.-
Und was passiert, wenn die meine UDID haben? Wollte mein iPhone verkaufen, werde ich da iwie eingeschränkt?
Nein!
Wie checkt ihr dass ??
Wie checkt ihr dass udid?!?
Haha, ein Gerät in der Liste heißt „stolen ipad“.
wieso hat das fbi überhaupt 12 mio udids? woher? mit welcher begründung gesammelt?
Wozu brauchen die eine Begründung? Das ist das FBI.
Die id’s werden vermutlich direkt von apple kommen. Würde mich nicht wundern, wenn die verpflichtet sind, die Daten zu melden (PATRIOT Act etc.)
Genau so isses ;)
Begründung:
Weil wir es können *an den sack fass*
das amerikanische gesetzt er laubt alles wenn es um die nationale sicherheit geht.
Ein hoch auf den patriot act! xD
Natürlich zur Terror abwehr!!!
ICH schlafe jetzt viel ruhiger, seit dem ich weiß, dass das FBI die UDID von den Schurken gespeichert hat!!
Wenn bei mir irgendwas passiert, gibt’s halt einfach ne Klage.
Fertig.
good luck with that http://i0.kym-cdn.com/photos/i...../Y0UJC.png
ich beömmel mich :D :D :D
Hach, ist die Schule schon aus.? :D
Wenn ich´s richtig verstanden hatte, erlaubt Apple das Identifizieren über UDID nicht mehr (http://www.iphone-ticker.de/ab.....rch-31905/). Demnach sind die Daten u.U. veraltet. Ich frage mich nur, was dem FBI einfällt, eine Million UDID´s zu speichern. Da entstehen doch lauter Fragen: 1. Woher stammen die Daten? Sind diese illegal beschafft worden? Was will das FBI damit? Darf das FBI (nach amerikanischen Gesetzen?) überhaupt solche Daten speichern? Und hat der FBI Mitarbeiter evt. Fahrlässig gehandelt (aus Datenschutrechtlicher sicht) in dem er solche Daten auf seinem Laptop hat? Ich hätte das wohl eher Homeland Security oder der NSA zugetraut, aber dem FBI? Komischer Fall, zu den ich aus reiner Neugierde gerne mehr wüsste.
Für alle fragen eine antwort:
Patriot Act. Wenns um die Nationale Sicherheit geht, dürften die auch kleine Katzenbabys erschießen…
Guter Vergleich ;)
Your UDID was not found
Dafür ist sie jetzt dort hinterlegt ;)
Die sind alle dämlich …
Und vor allem, die haben sie jetzt freiwillig eingegeben.
Mihihi, die hatten am End noch gar nix, aber jetzt tippen alle wie die aufgescheuchten Hühner fleissig ihre UDIDs ins Internet…
So gehts auch ;)
Und wenn sie meine UDIDS dann haben, was kann mir dann passieren? Meine Handy Nummernanrufen? Oder sehen, was ich google? Bitte sagt es mir!
Eigentlich sehen die eh schon alles, nur können die mit Hilfe der UDIDs (d)ein Profil erstellen. Im Grunde ist deren Arbeit mit Hilfe der Smartphone Genetation wesentlich einfacher geworden.
die idee mit dem ausfindig machen find ich allerdings super nur muss ich da auch wieder meine id preisgeben.
lieber mal die liste selbst durchsehen nach der udid…
Wisst ihr wie man auch gut UDIDs sammeln kann ? Eine Seite zur Überprüfung von IDs eröffnen und
jede Eingabe speichern ;)
MfG
Thumbs up!
Man braucht gar keine Hacks und Co. mehr. Mittlerweile geben User ihre kompletten Informationen mit kleinen Tricks freiwillig heraus und fühlen sich hinterher auch noch beruhigter, wie vorher.
Einfach lächerlich
Danke für das Update…bitte weiter an dem Thema bleiben
Tja so ist das eben mit dem FBI . Egal wie denkt irgend jemand in diesem Forum , das da nur iphones gecheckt werden . Alle werden gefillst , privatrechner , androids , selbst die alten Matrix Handys . Du kannst so gut wie nichts dagegen machen . Eigentlich ganz schön beschissen. ABER MAL WAS ANDERES , TROTZ ALLEM SIND APPLE PRODUKTE IMMER NOCH DIE BESTEN……und es macht jeden Tag immer wieder Spass ein solches PRODUKT von APPLE zu benutzen !!!
Gruß an alle
De iTsun :-))))
Eigentlich das beste was den Geheimdiensten passieren konnte. Apple ;)
Fillsing FTW! ABer zum Thema: Wenn ich keinen Anruf erwarte oder nicht eben was im Internet machen, ist mein Gerät im Flugmodus mit WLAN eingeschlatet.
Und genau dafür wollen wir Features… Damit wir sie abstellen und jedes mal manuell anschalten… Dum di dum la la la
Vorallem: wenn ich keinen Anruf erwarte-> flugmodus muhahahha also du solltest dir echt nen c-Netz ins Auto bauen und von zuhause rauchzeichen abgeben
Die brauchen ein halbes Jahr für die Veröffentlichung der Daten?
verstehe nicht warum zig Leute jetzt freiwillig ihre UDID im Internet einklimpern? Wer weiss, was der Anbieter dieser Seite damit macht?
Ausserdem: was nützt es schon zu wissen, ob mein iPhone auf der Liste steht. Kann doch eh nix mehr daran ändern …. *kopfschüttel*
Sehe ich genauso^^
Die spritpreise steigen. Das FBI darf alles. Die altersarmut wird uns überrollen. Samsung verklagt Apple. Apple beklagt Samsung.jeder ist auf den anderen neidisch. Die Geheimdienste spitzeln und aus. Nur gut das die Stasi damals der schlimmste Geheimdienst war und die Geheimdienste heutzutage nur noch warmduscher sind.
Mensch Mensch Mensch. Was macht der Mensch nur mit sich selber. Nur wenn mal außerirdische und bedrohen hält die Menschheit zusammen?
Wtf ? Wir verpfeifen einfach die Chinesen. Mit ner Milliarde werden die Aliens wohl zufrieden sein. Und wenn nicht haben die Chinesen zumindest die Pläne des Raumschiffs kopiert und verkaufen es in minderer Qualität weiter. Win-win
Auftritt der Paranoiden…
Puh, jetzt war ich erst mal geschockt.
Ich hab mir diese Liste runtergeladen um nicht über diese Seite zu suchen, sondern selbst in der Text-Datei nachzuwühlen.
Ich habe in dieser Liste meinen iPhone-Namen gefunden……..
WTF hab ich mir gedacht…..
Dann habe ich aber die UDID von meinem 2 iPhones und 2 iPads verglichen, und die stimmten Gott sei dank nicht……
Hat wohl jemand anderes den gleichen iPhone-Namen wie ich…..
Habe alles aufmerksam verfolgt. Ohne Jailbreak geht wohl auch my privacy nicht. Das Programm Cydia habe ich im Store auch nicht gefunden. Eine Frage in der Sache: wie Kann ich mein IPhone ohne Jailbreak eigentlich möglich sicher gestalten ?. PS: bin noch nicht allzu lange IPhone Nutzer. Danke.
Kein Internet nutzen
Könnte schwer werden cydia im App store zu finden. Google mal nach redsnow.
Wenn wir Windows oder Android hätten wären wir schon alle verloren, aber da wir ja iOS haben, hatten die meisten nochmal Glück…
falls es jmd. interessiert: http://pastebin.com/nfVT7b0Z
Warum geben so viele bereitwillig ihre UDID im Netz einer Seite preis, wo sie nicht wissen, was damit geschieht?
Ich habs!
Ich habe eure Bankkonten gehackt! Um zu überprüfen ob ihr dabei seid geht auf http://www.gibmirdeinkonto.de und überprüft ob ich euer Konto habe indem ihr eure BLZ, eure Kontonummer und den Namen des Kontobesitzers ein. XD
856476306; 50010060; Marius Gönner.
Leider ist deine Seite schon offline. Kannste kurz nachschauen ob ich da bei bin? ;P
Die Seite können wir ja mal gleich wieder online stellen.
Ich habs überprüft, du stehst nicht auf der Liste drauf. ;)
Sie Seite werde ich dann in meinem Urlaub auf Hawaii von meinem neuen Mac Book wieder zum laufen bringen. Ein bisschen Geduld noch :P
Na da bin ich aber froh ein Androidhandy zu haben und „nur“ einen IPod. Wenn das bei Google passiert währe wüste ich schon wie das hier aussehen würde ……
damn. dabei!
Nur zur Info: Es sind nicht nur iPhone, sondern ALLE Apple Devices mit UDIDs in der Liste zu finden:
also iPhone, iPad und iPod touch, viele auch inkl. Modelversion.
Wie gesagt: Mein iPad war in der Liste der Geräte. Name und UDID stimmen überein. Ich habe die Liste geladen und nachgeschaut.
Hallo,
im Artikel ist ein Fehler. Die UDID ist nicht 12-stellig, sondern 40-stellig!