- ニュース
今年初め、Apple は、開発者がアプリのユーザーを追跡するための有効な手段として、固有デバイス識別子 (UDID) の使用を廃止しました。
ハッキンググループAntiSecが本日、FBIのラップトップに侵入して回収した1200万件以上のUDIDを公開したことから、彼らは嵐の到来を予感していたのではないかと疑わざるを得ません。そして、あなたのデバイスID、そしてそれに関連付けられたiPhone、iPod touch、iPadで行ったすべての操作も、その一つになるかもしれません。
YCombinator に最初に投稿された Pastebin での詳細だがまとまりのない発表の中で、AntiSec は UDID を取得した方法を次のように説明しました。
2012 年 3 月の第 2 週に、FBI 地域サイバー対策チームおよびニューヨーク FBI 事務所証拠対応チームのスーパーバイザー特別捜査官 Christopher K. Stangl が使用していた Dell Vostro ノートパソコンが、Java の AtomicReferenceArray の脆弱性を利用して侵害を受けました。シェル セッション中に、彼のデスクトップ フォルダからいくつかのファイルがダウンロードされました。そのうちの 1 つ、「NCFTA_iOS_devices_intel.csv」という名前のファイルは、12,367,232 台の Apple iOS デバイスのリストであり、UDID (Unique Device Identifiers)、ユーザー名、デバイス名、デバイス タイプ、Apple Push Notification Service トークン、郵便番号、携帯電話番号、住所などが含まれています。個人に関する詳細フィールドは多くの場合空白で、リスト全体が多くの部分で不完全なままになっています。同じフォルダの他のファイルには、このリストまたはその目的について言及されていません。
なぜFBIは100万件以上のUDIDと関連情報を記載したファイルを保有していたのだろうか? AntiSecは、FBIがその情報をアメリカ国民の追跡に利用していたと強く主張しながらも、その理由は全く分からないと真っ先に認めている。
AntiSecはUDIDを100万件オンラインで公開しましたが、そこから「氏名、携帯電話番号、住所、郵便番号など」の個人情報はすべて削除されています。デバイスのUDIDがわかれば、FBIがあなたを追跡していたかどうかを調べるのに十分なはずです。
Gizmodoは、流出したUDIDのファイル名に含まれる「NCFTA_iOS_Devices」という参照は、民間企業と法執行機関の間のパイプ役を務めるNational Cyber-Forensics & Training Alliance(全米サイバーフォレンジック&トレーニング連盟)の略である可能性があると指摘しています。これは、AppleがこれらのUDIDをFBIに提供することに深く加担していたことを示唆している可能性があります。
更新:The Next Webが、UDIDが追跡されているかどうかを確認するための便利なツールを公開しました。私の場合は追跡されていませんでした。
出典: AntiSec
