1 milione di UDID di dispositivi iOS da un portatile dell'FBI

iphone sicurezza

Il team di hacker denominato Antisec ha fatto una scoperta piuttosto inquietante e dai risvolti ancora fumosi. In pratica, il gruppo ha rilasciato un 1 milione di identificativi unici appartenenti ad altrettanti dispositivi mobili Apple (i cosiddetti UDID) provenienti da un portatile dell'FBI smarrito lo scorso marzo. Pare tuttavia che il database originale ne contemplasse dieci volte tanti.

La storia è frastagliata, e presenta diverse zone d'ombra. Ci si domanda ad esempio lo scopo d'un database simile:

Durante la seconda settimana di marzo 2012, un notebook Dell Vostro, utilizzato dall'agente speciale Christopher K. Stangl -supervisore del Regional Cyber Action Team dell'FBI e dell'Office Evidence Response Team dell'FBI- è stato violato grazie alla vulnerabilità AtomicReferenceArray di Java; durante il processo, alcuni file sono stati scaricati dalla sua cartella Desktop, compreso uno nominato "NCFTA_iOS_devices_intel.csv" che si è rivelato essere una lista di 12.367.232 dispositivi iOS Apple che includeva Identificativi Unici dei Dispositivi (UDID), nomi utente, nomi dei dispositivi, tipi di dispositivo, token del servizio di Push Notification, codici postali, numeri di telefono, indirizzi, etc. In molti casi i campi relativi a tali dettagli appaiono vuoti, il che significa che la lista è incompleta. Nessun altro file nella medesima cartella faceva menzione a questo file e al suo scopo.

A quanto sembra, i dati verificati appaiono assolutamente veritieri, quindi niente rischio bufale. Le informazioni somigliano molto a quelle accessibile solitamente agli sviluppatori, anzi, è molto probabile che più di uno sia stato originariamente coinvolto nella creazione della lista. Sul suo significato più ampio, tuttavia, è mistero assoluto.

Al momento, l'unico modo di sapere se si è tra gli utenti coinvolti -qualunque ne sia la ragione- è quello di scaricare il TXT da 136 MB seguendo le istruzioni riportate a questa pagina. Ci sono un po' di mirror a disposizione, l'MD5 e la password per decrittografare il file.

Di certo, è qualcosa che fa paura e che ciclicamente torna a preoccupare. Tempo addietro, Apple stessa aveva dovuto correre ai ripari minacciando la bocciatura delle app degli sviluppatori che si affidavano all'UDID per la profilazione degli utenti, ma quel che è accaduto oggi supera di gran lunga qualunque scorciatoia di marketing messa in campo delle software house.

Seguiremo da vicino la vicenda e vi informeremo di ogni eventuale novità a riguardo. Stay Tuned.

  • shares
  • Mail
3 commenti Aggiorna
Ordina: