Trafugati 12 milioni di ID univoci di prodotti Apple

Un gruppo di hacker, qualificatisi come membri di Anonymous, ha dichiarato di aver sottratto da un sistema dell’FBI, l’ente investigativo statunitense, qualcosa come 12 milioni di identificativi di dispositivi iPhone ed iPad.
A testimonianza di quanto affermato, i protagonisti della scoperta hanno pubblicato su Pastebin (sito web molto noto a livello mondiale che consente agli utenti di tutto il mondo, anche senza operare alcun tipo di registrazione, di inviare e pubblicare porzioni di testo di qualunque genere) i riferimenti per effettuare il download di circa un milione di UDID relativi a device a marchio Apple.

Secondo la tesi degli esponenti di Anonymous vi sarebbe un disegno, da parte dell’FBI, di tracciare l’attività di un gran numero di possessori di dispositivi della Mela. “Non abbiamo mai gradito il concetto di UDID“, si legge nella nota pubblicata “dagli anonimi” su Pastebin, “si è trattato di una cattiva decisione da parte di Apple“.
Gli UDID sono degli identificativi che permettono di individuare, in modo univoco, uno specifico dispositivo mobile Apple. Dopo una class action avviata anche nei confronti di Apple da parte di utenti che lamentavano rischi di monitoraggio da parte della società o di sviluppatori terzi (vedere l’articolo Apple ed altri sviluppatori: contestazioni sulla privacy), l’azienda oggi guidata da Tim Cook ha deciso di bloccare tutte quelle applicazioni che cercando di identificare in modo univoco il singolo terminale proprio facendo leva sull’UDID (Apple contro le app che “identificano” lo smartphone).

Anonymous fa nomi e cognomi e spiega che il ricco database di UDID sarebbe stato trafugato dal portatile di un agente speciale dell’FBI. La sottrazione dei dati (un foglio elettronico in formato CSV) sarebbe avvenuta facendo leva su di una vulnerabilità del pacchetto Java.
Accanto agli oltre 12 milioni di identificativi UDID, ci sono nomi utente, nomi e modelli dei corrispondenti dispositivi Apple, indirizzi di residenza, CAP, numeri telefonici, token Apple Push Notification Service e così via.

La pubblicazione di 1 milione di record è stata giudicata, per il momento, “più che sufficiente” dagli autori dell’azione che hanno spiegato di aver rimosso tutti i dati sensibili contenuti nel file a tutela dei proprietari dei dispositivi Apple. Secondo gli hacker la diffusione delle informazioni è avvenuta in queste ore proprio perché Apple è al momento alla ricerca di un’alternativa per il sistema UDID.