تسرب المتسللين 1 مليون من UDIDs أبل زُعم أنها سرقت من الكمبيوتر المحمول FBI

أصدرت مجموعة من المتسللين ملفًا يحتوي على بيانات تعريف فريدة لأكثر من مليون جهاز iOS iOS وادعوا أن المعلومات جزء من قاعدة بيانات أكبر سرقت من المخترقين جهاز كمبيوتر محمول عميل FBI.

"خلال الأسبوع الثاني من مارس 2012 ، تم اختراق كمبيوتر Dell Vostro المحمول ، الذي استخدمه المشرف الخاص للمشرف كريستوفر ك. ستانغل من فريق التحقيقات الفيدرالية الإقليمية التابع لمكتب التحقيقات الفيدرالي (FBI) وفريق الاستجابة لمكتب إف بي آي في نيويورك باستخدام "الثغرة الذرية في جافا" ، وقال المتسللون ، الذين ادعى الانتماء إلى مجهول وعملية حملة انطونيس ، الاثنين في بيان نشر على Pastebin.

"خلال جلسة قذيفة بعض الملفات تم تنزيلها من مجلد سطح المكتب الخاص به ، "قال المتسللون. "واحد منهم باسم" NCFTA_iOS_devices_intel.csv "تحول إلى قائمة من 12،367،232 جهاز Apple iOS بما في ذلك معرفات الأجهزة الفريدة (UDID) وأسماء المستخدمين واسم الجهاز ونوع الجهاز ورموز خدمة Apple Push Notification و zipcodes و أرقام الهواتف المحمولة والعناوين ، وما إلى ذلك. "

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

كدليل ، أصدر المتسللون نسخة مخففة من هذا الملف تحتوي فقط على 1 مليون UDID ، مع ما يرتبط بها رموز خدمة Apple Push Notification وأسماء الأجهزة. قال المخترقون إن البيانات الشخصية الأخرى التي رافقت العديد من إضافات UDID قد تمت إزالتها عن قصد.

رفض مكتب التحقيقات الفيدرالي التعليق على الاختراق الأمني ​​المزعوم.

ومع ذلك ، فإن UDIDs المسربة - رموز ذات مظهر عشوائي تتكون من أحرف والأرقام الفريدة لكل جهاز iOS - يبدو أنها أصلية.

"لقد أكدت ثلاثة من أجهزتي في البيانات التي تم تسريبها" ، بيتر كروس ، المتخصص في الجريمة الإلكترونية في شركة الأمن CSIS Security Group في الدنمارك ، قال يوم الثلاثاء على تويتر.

كشفت عملية فحص لعينة عشوائية من UDIDs باستخدام واجهة برمجة التطبيقات (API) التي يمكن الوصول إليها بشكل عام من OpenFeint ، وهي منصة للشبكات الاجتماعية لألعاب iOS ، أن العديد منها يتوافق مع الأجهزة التي يملك مالكوها مشغل OpenFeint

وفقا لباحث الأمن Aldo Cortesi ، مؤسس شركة الاستشارات الأمنية Nullcube التي يوجد مقرها في نيوزيلندا ، فإن تسرب UDIDs يمكن أن يكون له تداعيات خطيرة على الخصوصية.

في الماضي ، بحث كورتسي في كيف كانت UDIDs من مطوري التطبيقات وما هي المعلومات المرتبطة بها.

في مايو 2011 ، أفاد أنه عندما تم تزويده بـ UDID ، قامت واجهة برمجة التطبيقات OpenFeint بإرجاع إحداثيات GPS ومعلومات يمكن أن تكشف عن ملف تعريف المستخدم الخاص بـ Facebook.

In سبتمبر 2011 ، أفاد أن منصات الألعاب الأخرى شعبية iOS لديها مشاكل تسرب البيانات مماثلة. في إحدى الحالات ، سمحت واجهة برمجة تطبيقات النظام الأساسي للمهاجمين بالاستيلاء على حساب مستخدم Facebook و Twitter من خلال معرفة UDID الخاص بجهاز iOS فقط.

"من المؤسف قول ذلك ، ولكن بعض الشركات المذكورة في مشاركاتي لا تزال تواجه مشكلات غير مثبتة وقال كورتسي في مدونة نشرت يوم الثلاثاء في ضوء تسرب UDID الجديد ، والذي وصفه بأنه "كارثة الخصوصية". (

) "هناك الكثير من الأخبار وقال كورتيسي يوم الثلاثاء عبر البريد الإلكتروني: "لا تزال هناك مشاكل أكثر خطورة في الشبكات الاجتماعية للألعاب التي ناقشتها ، لكنني أود تجنب وصفها مباشرة". "أنا أعرف [أيضا] نقاط الضعف المماثلة في عدد من التطبيقات غير الألعاب."

واحدة من المشاكل هي أن معلومات المستخدم المرتبطة UDIDs تم تجميعها في الآلاف من قواعد البيانات التي توجد الآن في جميع أنحاء الويب ، وقال Cortesi . "لا يتطلب الأمر سوى تسريب واحد أو حادث أمني لبيانات مثل هذا أن يتم كشفها."

"من الشائع ، على سبيل المثال ، بالنسبة لمطوري التطبيقات استخدام UDID كمعرف زائف للمستخدمين ، ثم استخدام ذلك ل تتبع والتحليلات "، وقال Cortesi. "ستكون النتيجة عبارة عن قاعدة بيانات لأعرف UDID مع بعض المعلومات السلوكية المرتبطة بها."

تم إيقاف استخدام UDIDs منذ iOS 5.0 وبدأت Apple في رفض طلبات App Store للتطبيقات التي تصل إلى UDID منذ مارس.

لقد كان UDID فكرة سيئة من البداية وكان يجب على Apple أن تدرك آثارها المتعلقة بالخصوصية ، حسبما قال Cortesi. "أعتقد أنهم يفعلون ما بوسعهم لتحريك النظام الإيكولوجي للتطبيق بعيداً عن استخدام إضافات UDID بأسرع وقت ممكن. لم يكن سريعًا بما يكفي."

لم تعرض Apple طلبًا للتعليق بشأن التسرب من 1 مليون UDIDs.

(جيريمي كيرك في سيدني ساهم في هذا التقرير.)