FBI-hack roept belangrijke vragen op

Door: | 05 september 2012 10:09

Apple

Loopt jouw iPhone of iPad risico nu de unieke identificatienummers van meer dan een miljoen Apple-apparaten op straat zijn komen te liggen?

Afgelopen dinsdag publiceerde het hackercollectief AntiSec meer dan een miljoen unieke identifiers (UDID’s) afkomstig van een via de Java-clientsoftware gehackte laptop van een FBI-agent. Als jij een iPhone of iPad bezit, vraag je jezelf wellicht af wat deze hack voor jou betekent en ben je wellicht benieuwd waarom de FBI überhaupt Apple UDID’s verzamelt.

De informatie die de hackers hebben verkregen en gepubliceerd wordt gebruikt als een politiek statement. Naast dat AntiSec op social mediasite Pastebin uitvoerig ingaat op de achtergronden van de hack, verhaalt de organisatie uitvoerig over overheidsonderdrukking en hypocrisie.

Hoewel de groep 1.000.001 apparaatidentifiers heeft gepubliceerd, moet je ze wel nageven dat ze enigszins terughoudend opereren. De ontvreemde informatie bevatte namelijk ook volledige namen, telefoonnummers, postcodes en adressen, maar deze zijn niet opgenomen in het gepubliceerde bestand.

Tweakers.net meldt dat in het bestand de identifiers van zeker 10.000 Nederlandstalige gebruikers te vinden zijn; dit valt af te leiden uit apparaatnamen die bestaan uit het Nederlandse woord 'van'. Via deze site kun je controleren of jouw eigen UDID deel uitmaakt van het vrijgegeven gedeelte identifiers en of je dus door de FBI werd gevolgd. (Waarschuwing: hiermee geef je jouw UDID aan een derde partij. Voor de gevolgen hiervan zijn wij niet aansprakelijk.)

Volgens de verklaring van AntiSec stonden op de FBI-laptop ongeveer 12 miljoen Apple UDID’s opgeslagen. Om deze claim hard te kunnen maken, heeft het daarvan 1 miljoen identifiers gepubliceerd. AntiSec kon natuurlijk de data gewoon publiceren zonder deze te censureren, maar aangezien het ageert tegen de overheid en de FBI en niet tegen de betrokken individuen, werd besloten het grootste deel van het bestand achter te te houden.

Andrew Storms, directeur security operations bij nCircle benadrukt dat het Apple UDID an sich geen riscio voor gebruikers vormt. “Met losse UDID’s kun je niet zoveel. Sterker nog, Apple heeft apps in het verleden veel vrijheid gegeven rücksichtslos met UDID’s om te gaan, dus veel van die data liggen her en der al verspreid. Er waren een tijd lang ontzettend veel apps die UDID en persoonlijke data gebruikten om gebruikersactiviteit te monitoren – informatie die aan adverteerders verkocht kon worden.”

Maar de hack van een FBI-laptop met daarop de gegevens van 12 miljoen iOS-apparaten roept meer vragen op. Storms stelt het als volgt: “Deze vrijgave doet je afvragen wat de FBI en de Amerikaanse justitie in ’s hemelsnaam met 12 miljoen UDID’s moeten. Bereiden ze een zaak voor tegen Apple of een appmaker? En, er vanuit gaande dat de FBI een legitieme reden heeft deze data te bezitten, waarom was deze data niet beter beschermd?

Onze Amerikaanse collega’s hebben navraag proberen te doen bij de FBI om boven water te krijgen waarom de UDID’s op de laptop opgeslagen stonden en hoe deze informatie beschermd was. De overheidsinstantie heeft nog niet op de vragen gereageerd. In een eerdere tweet via het officiële FBI-kanaal ontkende de politiedienst de hack.