サイト内検索:

iOSデバイス100万台分のUDIDが流出してさあたいへん。

Hacker group Antisec has released a dump of 1 million unique identifiers (UDIDs) from Apple iOS devices tonight. The records reportedly came from a file found on an FBI laptop back in March.

Hackers Release 1 Million iOS Device UDIDs Obtained from FBI Laptop - Mac Rumors

FBIのノートパソコンに保存されていたiOSデバイス情報がハッカーグループAntisecによってハックされ、そのうち100万件が流出したようです。

During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of "NCFTA_iOS_devices_intel.csv" turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.

長い英語だな・・・。簡単に訳すと、

今年の3月の2週目にスーパーバイザー・スペシャル・エージェントという肩書きを持つクリストファーさんが使っていたDELL VostroノートブックからJavaのAtomicReferenceArrayの脆弱性を突かれNCFTA_iOS_devices_intel.csvという名前のファイル抜かれたようです。

この脆弱性ですが、AtomicReferenceArray オブジェクトをデシリアライズする際の配列型のチェックに不備があり、配列オブジェクトにシリアライズされた不正なオブジェクトデータを含む AtomicReferenceArray オブジェクトをデシリアライズした場合に、サンドボックスによるセキュリティ制限を回避し、任意のコードを実行可能となるようです。

で、盗まれたリストの数は12,367,232件だそうです。ここにはUDID、ユーザ名、デバイス名、デバイスタイプ(iPhoneとかiPadとか)、郵便番号、電話番号、住所などが記載されていたようです。

で、今回、この12,367,232件の中から100万件が個人情報を削除された状態(UDIDとデバイス名、デバイスタイプのみ)で流出した、ということです。

このデータ流出でどうなるか、というと、UDIDで認証しているアプリになりすましでログインできる、ってことなんでしょうけど、実害はあるのかなあ。どうなんだろう。

それより、なんでFBIが1000万件もiOSユーザの情報を持っていたか、ですね。Appleが差し出したのでしょうか?

で、僕の/私のデータは流出しちゃったのかしら?という人用にチェックできるサイトがありました。

Has your Iphone info been comprimised?

ここでご利用されているiOSデバイス(iPhoneとかiPad)のUDIDを入力することで流出しているかどうかを確認することができます。

自分のUDIDの確認方法ですが、iPhoneやiPadをiTunesにつないで、iTunesにデバイスが表示されたら選択し、「シリアル番号」と書いているところをクリック(一見するとクリックできない雰囲気ですがクリックできます)するとUDIDが表示されるのでそれを選択&コピーすればOKです。

で、そのUDIDを上記サイトで検索し、もし流出しているとページの一番下にどういう内容で流出しているか、が表示されます。

では、がんばってください。

blog comments powered by Disqus

2011年アルファブロガー受賞

新着DVD

モバイル

Powered by Movable Type 6.1.2

ブログ内検索

BlogPeople ReviewMe!

このサイトのレビューとか応援コメントを書いてもらえると励みになります。

Affi☆List for Amazon

バナー広告

このブログ記事について

このページは、nagasawaが2012年9月 4日 19:21に書いたブログ記事です。

ひとつ前のブログ記事は「チルトシフトレンズで撮影したように画像を加工する「tiltShift.js」」です。

次のブログ記事は「プロ野球選手会、来春のWBC参加を表明」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。