Nach dem FBI bestreitet auch Apple, dass die von der Hackergruppe AntiSec veröffentlichten Gerätekennungen und Nutzerinformationen von ihm stammen könnten. Die Hacktivisten hatten eine Million Unique Device Identifiers oder UDIDs veröffentlicht, die wie Seriennummern mit iOS-Geräten verbunden sind und die Zuordnung persönlicher Daten erlauben. Nach AntiSec-Angaben stammte eine Datensammlung mit insgesamt 12 Millionen UDIDs vom Laptop des FBI-Mitarbeiters Christopher K. Stangl und konnte dank einer Java-Schwachstelle erbeutet werden.
„Weder hat das FBI diese Informationen von Apple angefordert, noch haben wir sie dem FBI oder einer anderen Organisation überlassen“, sagte Apple-Sprecherin Natalie Kerris. „Mit iOS 6 werden wir außerdem neue APIs einführen, die die UDIDs ersetzen, und die Nutzung der UDID schon bald verbieten.“ Die Erklärung folgte auf Mutmaßungen, Apple könnte zur Herausgabe der eindeutigen Gerätenummern gezwungen worden sein.
Das vorhergehende FBI-Dementi war etwas weniger eindeutig ausgefallen. „Es gibt derzeit keine Beweise dafür, dass ein FBI-Laptop kompromittiert wurde oder dass das FBI diese Daten gesucht oder sich beschafft hat“, lautete die Erklärung der US-Bundespolizei, die Spielraum für Interpretationen ließ.
Der Hack machte erneut auf das Problem der UDIDs aufmerksam. Werbenetzwerke nutzen die eindeutigen Gerätekennungen seit Jahren, um zielgenaue Werbung zu verteilen. Viele App-Entwickler verbanden die Kennungen mit den tatsächlichen Namen der Nutzer, Passwörtern, Handynummern und weiteren Daten. In der Folge entstanden zahlreiche, oft unzureichend gesicherte Datenbanken, aus denen persönliche Informationen über die Gerätenutzer zu erfahren sind.
Seit Ende März lehnt Apple neue Anwendungen ab, die auf Gerätedaten zugreifen wollen, die eine eindeutige Identifizierung der Nutzer ermöglichen. Damit reagierte es offenbar auf eine vom US-Kongress eingeleitete Untersuchung zum Thema Datenschutz und Smartphones. Zahlreiche ältere Apps arbeiten aber noch immer mit den UDIDs. Erst mit dem kommenden iOS 6 soll ihre Nutzung endgültig verhindert werden. Nicht wirklich lösen kann Apple damit aber das Problem der bereits in großem Umfang gesammelten Daten – sie können in unbekannte Hände geraten und miteinander verbunden werden.
Obwohl die UDID eigentlich eine anonyme Kennung sein sollte, haben Sicherheitsexperten wiederholt demonstriert, wie sie den Zugang zu persönlichen Daten ermöglicht. „Indem Apple eine API entwickelte, die UDIDs preisgab, und die Entwickler zu ihrer Nutzung anregte, hat es dafür gesorgt, dass es buchstäblich Tausende von Datenbanken im Netz gibt, die UDIDs mit schützenswerten Nutzerinformationen verbinden“, erklärte Sicherheitsberater Aldo Cortesi gegenüber Ars Technica. „Ein Leak von einer dieser Datenbanken – oder noch schlimmer, eine umfängliche De-Anonymisierung wie durch OpenFeint – hat zwangsläufig ernsthafte Folgen für die Privatsphäre der Nutzer.“
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
[mit Material von Zack Whittaker, ZDNet.com]
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.