Apple: rubati 12 milioni di UDID da un portatile dell’FBI

Il gruppo di hacker AntiSec ha diffuso in rete una lista contenente più di 1 milione di UDID appartenenti a dispositivi Apple. Per chi non ne fosse a conoscenza, un UDID è un codice identificativo univoco del dispositivo che lo collega a nome e dati personali dell’utilizzatore.

La fonte di tale archivio sarebbe stato un portatile di un agente dell’FBI.

È possibile leggere a riguardo quanto segue:

Durante la seconda settimana di marzo 2012, un notebook Dell Vostro, appartenente all’Agente Speciale Supervisore Christopher K. Stangl della Squadra Regionale Cyber Action dell’FBI e della Squadra Office Evidence Response dell’FBI di New York è stato bucato usando la vulnerabilità AtomicReferenceArray di Java e durante la sessione di attacco shell sono stati scaricati alcuni file dalla sua cartella Scrivania. Si è scoperto che uno di essi col nome di “NCFTA_iOS_devices_intel.csv” era in realtà una lista di 12367232 dispositivi iOS di Apple che includeva gli UDID (Unique Device Identifiers), i nomi utente, il nome del dispositivo (es. iPhone di Andrea), tipo di dispositivo, i token del servizio di Notifiche Push Apple, i codici ZIP (equivalenti al nostro CAP), numeri di telefono, indirizzi e un’altra serie di dati personali. Non tutti i dispositivi presenti nella lista presentavano tuttavia la stessa quantità di dati personali, e al contrario molti di essi avevano campi in larga parte vuoti. Nessun altro file nella cartella fa menzione di questa lista o dello scopo per il quale così tanti dispositivi sono stati tenuti sotto osservazione dall’FBI.

Fortunatamente benché gli UDID sottratti ammontassero a più di 12 milioni, ne sono stati diffusi per il momento soltanto 1 milione e i campi sensibili sono stati oscurati.

È ancora ignota la fonte da cui una lista così ben fornita avrebbe preso corpo; tuttavia è facile credere che essi possano provenire da uno o più sviluppatori iscritti all’iOS Developer Program in quanto tali dati corrispondono esattamente ai dati che questi soggetti hanno a disposizione per ottimizzare le proprie app e le pubblicità in esse contenute a seconda della localizzazione geografica e dei gusti degli utenti.

Una fuga di codici rubati così consistente deve però mettere la pulce nell’orecchio ad Apple e spingerla a riconsiderare il sistema degli UDID almeno per come adesso lo conosciamo, in quanto ad oggi si è rivelato fin troppo semplice accedere a una mole tanto ingente di dati personali sensibili.

Per chi volesse verificare se il proprio UDID è compreso tra quelli sottratti, a questo indirizzo potrà scaricare l’intera lista.

via | MacRumors