Vandaag publiceerde hackersgroep AntiSec een bestand met één miljoen unieke identificatienummers van Apple apparaten, zogenaamde UDIDs (Unique Device Identifiers). De hackers claimen de beschikking te hebben over een bestand met meer dan twaalf miljoen gegevens over Apple producten, waaronder namen die aan de apparaten worden gegeven (“Wouters iPhone”), na een inbraak op een FBI computer.
Dus de identificatienummers van een aantal Apple apparaten zijn gelekt. “So what”, zul je misschien denken. Nou, mogelijk best wel wat:
Een UDID is een lange code van cijfers en letters, welke door Apple wordt gebruikt om haar iOS apparaten te identificeren. Ook app ontwikkelaars kunnen gebruik maken van UDIDs – bijvoorbeeld om testversies van apps te mogen gebruiken. Daarnaast kunnen app ontwikkelaars actief gebruik maken van de UDIDs om bepaalde functionaliteiten in apps te bieden, of om jouw inloggegevens te onthouden zodat je die niet steeds hoeft in te vullen. Deze codes zijn dus te herleiden tot bepaalde apparaten en daardoor mogelijk zelfs aan te merken als persoonsgegeven (net als een IP-adres).
Doordat deze UDIDs nu op straat liggen, kunnen functionaliteiten per apparaat dus mogelijk aan/uit worden gezet. Maar wat riskanter is, is dat door middel van deze UDIDs via apps en gamenetwerken allerlei andere persoonsgegevens bemachtigd kunnen worden. Mogelijk kunnen zelfs accounts overgenomen worden, zoals Facebook en Twitter accounts, en kan identiteitsfraude worden gepleegd.
Inmiddels springen er diverse websites in op de gelekte UDIDs en bieden ze de mogelijkheid om te checken of ook het UDID van jouw Apple product is gelekt. Je kunt in iTunes bekijken wat jouw UDID is (dit staat bij de informatiegegevens over jouw apparaat onder “Identifier (UDID”). Ik raad het echter af om via websites te checken of jouw UDID is gelekt, door jouw eigen gehele UDID in te voeren. Immers weet je niet wat websites met die gegevens doen, zijn de sites 9 van de 10 keer niet beveiligd, en ‘lek’ je je eigen gegevens gewoon. Overigens bieden sommige sites de mogelijkheid om slechts een gedeelte van jouw UDID in te voeren – dat is natuurlijk altijd beter dan het geven van je hele UDID.
Als jouw UDID gelekt blijkt te zijn kunnen kwaadwillenden achter jouw gegevens (zoals naam, adres, telefoonnummer en locatie) komen, en mogelijk zelfs toegang krijgen tot jouw apps en profielen. En dus ook identiteitsfraude plegen.
Veel app ontwikkelaars, en met name gaming netwerken, zijn zich al langer bewust van deze beveiligingsproblemen. Sommige app ontwikkelaars en gaming netwerken hebben al maatregelen genomen om te voorkomen dat kwaadwillenden ‘zomaar’ kunnen inloggen met jouw UDID, maar andere apps en netwerken zijn nog steeds kwetsbaar. Mogelijk dat Antisec daarvoor nu juist de aandacht vraagt.
