Hackerek az Apple ellen

Beinschróth József
2012. szeptember 18.

Elég sok valószínűtlen elemet tartalmaz a nemrég napvilágot látott történet, mely szerint egy számítógépes bűnüldözésre szakosodott FBI-ügynök laptopjáról hackerek lemásolták 12 millió Apple-felhasználó adatait. Könnyen lehet, hogy a történet nem is igaz. Ennek ellenére érdemes elgondolkodni a leírtakon.

Elég sok valószínűtlen elemet tartalmaz a nemrég napvilágot látott történet, mely szerint egy számítógépes bűnüldözésre szakosodott FBI-ügynök laptopjáról hackerek lemásolták 12 millió Apple-felhasználó adatait. Könnyen lehet, hogy a történet nem is igaz. Ennek ellenére érdemes elgondolkodni a leírtakon.

A hír szerint » hackerek az adatok egy részét – egymillió felhasználó nevét, eszközazonosítóját (UDID), illetve a hozzá tartozó eszköz nevét – több helyen is elérhetővé tették, a letöltéshez, a visszakódoláshoz és a kitömörítéshez szükséges lépésekkel és jelszavakkal együtt. Az UDID a készülékek egyedi azonosítója (Unique Device Identifier), s a készülék több fizikai azonosítójából kriptográfiai algoritmus alkalmazásával számítják ki. Ennélfogva az UDID-ből a készülék fizikai azonosítói nem számíthatók ki. Minden készüléknek egyedi UDID-je van, ennek megfelelően alkalmas a készülék egyedi azonosítására, a felhasználóra vonatkozóan azonban semmiféle személyes adatot nem tartalmaz. A személyes adatok és az UDID összekapcsolására azonban elvi lehetőség van az Apple szerverein, így, ha a publikált fájl valódi adatokat tartalmaz, akkor ezek forrása az Apple kell, hogy legyen.
Az UDID-et tipikusan a fejlesztők, illetve tesztelők használják az Apple Developer Center-ben történő regisztrálás során. Felhasználásával a fejlesztőknek van lehetőségük arra, hogy az alkalmazásaik használatát valamilyen szinten kövessék, de az UDID önmagában csak a készüléket azonosíthatja, a készüléket használó személyt nem. Mindenesetre az Apple már az esetet jóval megelőzően bejelentette, hogy a további fejlesztések során nem fogja támogatni az UDID használatát.
Elvileg lehetséges lenne, hogy az UDID-del való visszaélés alapján egy meghatározott személy készülékére olyan program települjön, ami nem jóváhagyott és esetleg rosszindulatú kódot tartalmaz (adatokat gyűjt, nyomon követi a készülék helyzetét, bekapcsolja a mikrofont stb.) Ez azonban inkább csak elvi lehetőség, a gyakorlati megvalósításhoz még számos, az iPhone-ba épített akadályt kellene leküzdeni.
Saját megnyugtatásunk érdekében érdemes ellenőrizni, hogy a készülékünk UDID-je nem szerepel-e a publikált listában » . Készülékünk UDID-jének meghatározáshoz erről a helyről » kaphatunk segítséget.
Ha szerepelünk a listában, az még nem jelenti azt, hogy bármiféle visszaélés történik a kárunkra, de ha mégis ez a gyanúnk, akkor egy restore-t érdemes végrehajtani. Ezzel gyakorlatilag egy újratelepítést végzünk, így az esetlegesen jelen levő rosszindulatú kód eltűnik – ha az adatainkról előzetesen nem készítettünk mentést, akkor azokkal együtt.