Hackers vazam 1 milhão de UDIDs da Apple supostamente roubados do laptop do FBI

Um grupo de hackers divulgou um arquivo contendo dados de identificação exclusivos para mais de 1 milhão de dispositivos Apple iOS e afirmou que as informações são parte de um banco de dados maior roubado laptop de um agente do FBI.

"Durante a segunda semana de março de 2012, um notebook Dell Vostro, usado pelo agente especial de supervisor Christopher K. Stangl da equipe de ação cibernética regional do FBI e pela equipe de resposta de evidências do Office do FBI em Nova York foi violado usando o AtomicReferenceArray vulnerabilidade em Java ", disseram os hackers, que reivindicaram filiação a Anonymous e sua campanha Operação Antisec, segunda-feira em um comunicado publicado no Pastebin.

" Durante a sessão de shell algum arquivo s foram baixados de sua pasta Desktop, "os hackers disseram. "Um deles com o nome de 'NCFTA_iOS_devices_intel.csv' passou a ser uma lista de 12.367.232 dispositivos Apple iOS, incluindo identificadores de dispositivos exclusivos (UDID), nomes de usuário, nome do dispositivo, tipo de dispositivo, tokens do Apple Push Notification Service, códigos postais, números de celulares, endereços, etc. "

[Leia mais: Como remover malware do seu PC com Windows]

Como prova, os hackers lançaram uma versão simplificada desse arquivo que continha apenas 1 milhão de UDIDs, com Tokens do Apple Push Notification Service e nomes de dispositivos. Os outros dados pessoais que acompanharam muitos dos UDIDs foram intencionalmente removidos, segundo os hackers.

O FBI se recusou a comentar a suposta violação de segurança.

No entanto, os UDIDs vazaram - códigos aleatórios compostos de letras e números que são exclusivos para cada dispositivo iOS - parecem ser autênticos.

"Confirmei três dos meus dispositivos nos dados vazados", disse Peter Kruse, especialista em crimes eletrônicos da empresa de segurança CSIS Security Group, da Dinamarca. A verificação de uma amostra aleatória de UDIDs usando a API (interface de programação de aplicativos) publicamente acessível da OpenFeint, uma plataforma de rede social para jogos iOS, revelou que muitos deles correspondem a dispositivos cujos proprietários têm o player OpenFeint. Perfis

Segundo o pesquisador de segurança Aldo Cortesi, fundador da firma de consultoria de segurança Nullcube, com sede na Nova Zelândia, o vazamento de UDIDs pode ter sérias implicações de privacidade.

No passado, Cortesi investigou como os UDIDs estavam sendo nós Desenvolvido por desenvolvedores de aplicativos e quais informações estavam sendo associadas a eles.

Em maio de 2011, ele relatou que, quando fornecido com um UDID, a API do OpenFeint retornava coordenadas GPS e informações que poderiam revelar o perfil do usuário no Facebook.

Em setembro de 2011, ele relatou que outras plataformas populares de jogos para iOS tinham problemas semelhantes de vazamento de dados. Em um caso, a API de uma plataforma até permitiu que invasores assumissem a conta do Facebook e Twitter de um usuário sabendo apenas o UDID de seu dispositivo iOS.

"É desanimador dizê-lo, mas algumas das empresas mencionadas em minhas postagens ainda apresentam problemas não corrigidos (Todos foram notificados com bastante antecedência de qualquer publicação), disse Cortesi em um post publicado na terça-feira à luz do novo vazamento do UDID, que ele descreveu como uma "catástrofe de privacidade".

problemas mais sérios ainda não resolvidos nas redes sociais de jogos que eu discuti, mas eu gostaria de evitar descrevê-los diretamente ", disse Cortesi nesta terça-feira via e-mail. "Eu [também] conheço vulnerabilidades semelhantes em vários aplicativos que não são jogos".

Um dos problemas é que as informações de usuários vinculadas a UDIDs foram agregadas em milhares de bancos de dados que existem em toda a Web, disse Cortesi. . "É necessário apenas um único vazamento ou incidente de segurança para que dados como esse sejam expostos."

"É comum, por exemplo, que desenvolvedores de aplicativos usem um UDID como um pseudo-identificador para usuários e usem isso para rastreamento e análise ", disse Cortesi. "O resultado seria um banco de dados de UDIDs com algumas informações comportamentais associadas".

O uso de UDIDs foi preterido desde o iOS 5.0 e a Apple começou a rejeitar submissões da App Store para aplicativos que acessam UDIDs desde março.

A Apple não retornou um pedido de comentário sobre o vazamento. de 1 milhão de UDIDs.

(Jeremy Kirk em Sydney contribuiu para este relatório).