UDID-Panne: Daten kommen von amerikanischem Publisher
Eine grandiose Analyse. Die auf die Sicherheit mobiler Geräte spezialisierte Firma Intrepidus Group hat sich noch mal ausführlich mit den mehr als einer Million UDIDs beschäftigt, die im Laufe der vergangenen Woche ihren Weg ins Netz fanden (ifun.de berichtete) und – so der begleitenden Text damals – als FBI-Datensatz identifiziert worden waren.
Intrepidus-Mitarbeiter und „long-time security professional“ David Schuetz hat den Datensatz nach doppelten und mehrfach eingetragenen Geräte Kennungen durchsucht und ist dabei auf eine Handvoll Geräte gestoßen, die sich nach weiteren Recherchen eindeutig dem Publisher BlueToad zuordnen ließen.
Wir empfehlen euch die Beschreibung der systematischen Analyse nachzulesen, der Forensik-Bericht hat schon fast einen leichten Krimi-Einschlag, kürzen die Geschichte jedoch ab. Der Datensatz kommt nicht vom FBI sondern vom Verlagshaus BlueToad. Von Intrepidus auf die gefundenen Firmen-Hinweise angesprochen – iPad-Namen wie „Bluetoad Support“, „Bluetoad iPad“, „Client iPad BT“ und mehrere Geräte mit den eindeutigen Namen der Geschäftsführer brachten den Ball ins Rollen – hat der BlueToad-Vorstand den Daten-Diebstahl im Hausblog inzwischen eingeräumt und eine Stellungnahme veröffentlicht.
A little more than a week ago, BlueToad was the victim of a criminal cyber attack, which resulted in the theft of Apple UDIDs from our systems. Shortly thereafter, an unknown group posted these UDIDs on the Internet. At BlueToad, we understand the importance of protecting the safety and security of information contained on our systems. […] We have fixed the vulnerability and are working around the clock to ensure that a security breach doesn’t happen again. In doing so, we have engaged an independent and nationally-recognized security assurance company to assist in our ongoing efforts.
Der US-Nachrichtensender MSNBC bietet auf seiner Webseite ein erstes Interview mit dem BlueToad CEO Paul DeHart an, hat den Clip jedoch nur im Flash-Format vorliegen.
Eine Moral zur Geschichte lässt sich derzeit noch nicht anbieten. Apple hat die iOS-Entwickler bereits vor Monaten dazu aufgefordert die eindeutigen Geräte-Kennungen nicht mehr zu verwenden um so das Tracking einzelner Nutzer über mehrere Applikationen hinweg auszuschließen und wird das Auslesen der UDIDs unter iOS 6 wohl komplett unmöglich machen. Daten-Sammlungen wie das Bluetoad-Archiv dürften in den Hinterzimmern ausgewählter App-Entwickler jedoch zu Hauf herumliegen und könnten uns irgendwann um die Ohren fliegen.
Nochmal: Apple ist zurück gerudert und lässt UDID wieder zu – jedoch mit expliziter Abfrage. Beispiel: „Good for Enterprise“ suchen – installieren – Staunen…
Gruß
Thorsten
Zum Glück leide ich nicht an Paranoia und habe mich mit dem Gedanken abgefunden, daß ich immer „durchsichtiger“ werde. Irgendjemand weiß doch immer wo ich gerade bin, mit wem ich wann und wie lange telefoniert habe, welche Websites ich besucht habe, etc. So what?
So what? Leute wie du sind mitverantwortlich für die immer schlechter werdende Datensicherheit und den Datenschutz. Leute denen alles egal ist und die nichts zu verbergen haben, verschlimmern den Umgang großer Firmen mit persönlichen Daten der Nutzer. Warum fragst du? Weil sie es mit solchen Aussagen unterstützen ansstatt es zu ändern. Danke nochmal dafür.
Und du hast natürlich viel zu verbergen! Bla bla bla Datenschutz bla bla bla Sicherheit, eingeredete Prinzipien die du im Internet aufgezwungen bekommen hast. So wie jeder. Dabei sind die Risiken längst bekannt, trotzdem holt sich jeder ein Smartphone. Datenschutz ist Schnee von gestern und ein Luxus den sich fast keiner schon mehr leisten kann. Wander aus, benutz kein Internet, Telefon oder Fernseher, trotzdem wirst du ne Satelitenschüssel an den Eiern haben.
„Leute … die nichts zu verbergen haben“
Sowas gibt’s? Ist ja schrecklich! :-)
Ich les die News, denke an ähnliche Meldungen zuhauf, guck auf mein vermeintlich sicheres iPhone und iPad und denke….
Nichts ist so sicher wie der löchrige Apple-Käse ;-(
…und nun könnt ihr mich steinigen ;-)
Wenn kein andere Lust hat werf ich den ersten Stein ^^… Ne Scherz, sicher is gor nix, außer du lebst im Wald mit Bambi und Biene Maja XD
Weder die Seite http://www.bluetoad.com noch http://www.intrepidusgroup.com läd bei mir. Server lahm, mein Fehler? Naja, mal abwarten.
Wohl zu viele Zugriffe, läuft wieder :)
Das gleiche; hier in Wien.
Nur die dämlichen.
Der Datensatz kommt nicht vom FBI sondern vom Verlagshaus BlueToad.
Und wer sagt, dass der Diebstahl nicht durch das FBI erfolgt ist?
und aus welchem grund sollte das fbi die informationen veröffentlichen?
Das FBI hat keine Daten veröffentlicht. Die wurden von einem FBI Rechner geklaut.
wofür gibts PMP – Protect my privacy ;)
ein hoch aufs jailbreak
Na klar…. wer’s glaubt
Ich hoffe mal, die haben sich das wenigstens gut bezahlen lassen ^^
Danke iFun. Ich war an diesem Thema extrem interessiert. Stellt sich die Frage, ob Apple wirklich das auslesen der UDID untersagt hat oder ob die nicht doch zurück gerudert sind, wie es im ersten Kommentar zu diesem Beitrag heißt. Ich frage mich auch, ob dieses Problem auch bei anderen existiert. Ist es möglich bei Windows Phone und Android (mal abgesehen von angeblichen Trojanern und Viren) die eindeutige Gerätekennung auszulesen und so ggf. Bewegungsprofile anzulegen? Denn das – auch wenn es für viele überzogen klingen mag – ist für mich ein Grund zum Wechseln!!! Apple sollte nicht das Vertrauen der Käufer leichtfertig aufs spiel setzen. Denn das Unternehmen Apple gibt i.d.R. die Kontrolle ungern aus der Hand. Aber wenn es auch nur ein Unternehmen gibt, dass gegen Richtlinien verstößt und UDID´s ggf. sogar geheim verkauft (und es gibt neben Staaten auch einige wirtschaftliche Interessens an diesen Daten), dann fällt das am Ende immer auf Apple zurück.
Witzbold, wenn Du ’n Anbieter findest, der keine Daten klaut dann lass es die Welt wissen. Jailbreak und PMP, dann wird nur gesendet was ich nicht will.