Hackerkollektiv veröffentlicht entwendete Daten des FBI

12 Millionen Apple-Kundendatensätze in Hackerhand

Ein Hackerkollektiv hat eine Million teilweise zensierter Datensätze veröffentlicht, die die IDs von Apple-Geräten mit den Benutzeraccounts verknüpfen. Sie sollen von einem Laptop des FBI stammen und nur weniger als ein Zwölftel der vollen Sammlung darstellen.

Am Dienstag, dem 4. September 2012, veröffentlichte ein eine Gruppe von Hackern, die nach Angaben von heise online der Gruppe AntiSec zuzuordnen ist, eine Liste von Apple-Kundendaten. Sie soll bei einem Angriff auf einen FBI-Laptop erbeutet worden sein. Enthalten seien gut 12,3 Millionen UDIDs - die umstrittenen, eindeutigen Gerätekennungen von Apple-Geräten - mit den jeweils zugehörigen Nutzerdaten. Die volle Datenbank soll Accountnamen, Gerätetypen, Klarnamen, Telefonnummern, Adressen und einiges mehr umfassen, wobei die Menge der Daten von Gerät zu Gerät variiert. Auch die APNS-Tokens der Nutzer sind enthalten, also jene Werte, die als Gerätebezeichner bei Apple Push Notification Service zum Einsatz kommen.

Veröffentlicht wurde indes nur eine geschwärzte Version, die um die persönlichen Informationen der Anwender gekürzt ist. Damit muss man nicht befürchten, dass der Auszug missbraucht werden könnte. Sehr wohl der Fall ist dies aber bei der vollständigen Liste, die Kriminelle etwa verwenden könnten, um sich bei Betrugsversuchen als Apple-Techniker auszugeben. Auch die APNS-Tokens könnten möglicherweise einen Angriffsvektor darstellen, denn üblicherweise stehen sie nur auf dem Gerät installierten Apps zur Verfügung und stellen unter dem Begriff "Token Trust" einen Teil von Apples Sicherheitskonzept für APNs dar.

Die Hacker haben aber nach eigenen Angaben ganz anderes im Sinn, denn die Nachricht über die Veröffentlichung wird auch von einer Flugschrift zur staatlichen Unterdrückung der Informationsfreiheit begleitet. Man solle sich gegen die immer weiter fortschreitende Beschränkung der Nutzungsrechte für elektronische Geräte wehren, so die Kernbotschaft - "Life as a Service" sei ein schädliches Konzept. Zwar ist der Gruppe Sinn und Zweck der Liste nicht bekannt, jedoch könne die Datensammlung exemplarisch für staatliche Überwachung stehen. Man wolle mit der Veröffentlichung die Nutzer für dieses Thema sensibilisieren und verdeutlichen, wie weit das Tracking der Endkunden bereits fortgeschritten sei.

Nach einer Überprüfung der 88 MByte großen, verschlüsselten Datei lässt sich allenfalls sagen, dass es sich um Nutzerdaten handeln könnte. Die Datei enthält tatsächlich eine Million und eine entsprechend formatierte Zeilen, mit Gerätenamen in vielen verschiedenen Alphabeten. Doch Apple hat bisher insgesamt 400 Millionen Geräte verkauft - bis eines der angeblich aufgeführten Geräte nachprüfbar gefunden wird, könnte einige Zeit vergehen. Unsere Stichproben jedenfalls förderten keine Übereinstimmung zutage.

Update: Wie das FBI inzwischen in einer kurzen Pressemeldung mitteilte, ist sich die Behörde keines derartigen Vorfalls bewusst. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass ein FBI-Rechner kompromittiert worden sei.

Indes scheint die Echtheit der Liste bestätigt zu sein. Wie findige Sicherheitsexperten vor einiger Zeit bemerkten, verwenden einige Dienste die UDID als einzigen Sicherheitsmechanismus. Auf diesem Wege wurde mittlerweile die Echtheit einiger weniger UDIDs der Liste bestätigt. Schon die Wahrscheinlichkeit, dass nur eine einzelne 40 Hexadezimalstellen umfassende UDID angesichts des immensen Wertebereichs korrekt geraten wäre, liegt im Bereich von 1 : 3,6*10^33.

Update 2: Auch Apple hat inzwischen eine Verwicklung in die Vorkommnisse dementiert. Das FBI habe die Daten nicht angefordert, und Apple habe sie auch nicht der Behörde oder irgendeiner anderen Instanz weitergegeben.

Zudem betonte der Hersteller, dass mit iOS 6 eine solche Datensammlung erschwert werde, da einzelne Apps keinen Zugriff mehr auf UUIDs erhalten sollten. Diese Richtlinie wird auch zum jetzigen Zeitpunkt schon teilweise umgesetzt. (dre)