本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
美國聯邦調查局 (FBI) 表示,沒有證據支援駭客組織 AntiSec 聲稱其從一臺安全措施薄弱的機構計算機上竊取了超過 1200 萬部 iPhone、iPad 和 iPod Touch 的數字序列號。
美國聯邦調查局週二釋出宣告表示,該機構“知悉已釋出的報告,聲稱 FBI 筆記型電腦遭到入侵,並且與 Apple UDID [唯一裝置識別符號] 相關的私人資料被洩露。目前,沒有證據表明 FBI 筆記型電腦遭到入侵,或者 FBI 曾尋求或獲取過這些資料。”
此事發生之前,AntiSec 公開了超過 100 萬條此類記錄,以證明其發現了一臺包含該資訊的 FBI 計算機,並引發了關於為什麼機構筆記型電腦首先包含此資訊的問題。*
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將有助於確保未來能夠繼續報道關於塑造我們當今世界的發現和想法的具有影響力的故事。
AntiSec 聲稱,它於 3 月從 FBI 區域網路行動小組和紐約 FBI 辦公室證據響應小組主管特工 Christopher K. Stangl 使用的 Dell 筆記型電腦中獲取了資訊。駭客表示,他們能夠利用 Java 軟體漏洞竊取資訊。甲骨文公司(在 2009 年收購 Java 建立者 Sun Microsystems 後擁有 Java 的權利)已於 2 月釋出了補丁來修復該問題,這意味著 FBI 沒有修復這臺特定計算機上的安全漏洞。
應用程式開發者、分析服務、社交網路和遊戲公司使用 UDID(分配給每個 iOS 裝置的 40 位數字長的唯一字母數字程式碼)來跟蹤使用其軟體和服務的裝置的位置。根據居住在紐西蘭的程式設計師和安全顧問 Aldo Cortesi 於 2011 年 5 月釋出的一篇部落格文章,“使用者無法阻止他們的裝置提供 UDID,告知他們的資料被髮送給誰,甚至告知這正在發生。”
對從 Apple 裝置收集使用者資訊的擔憂已經醞釀了一段時間。今年 3 月,美國眾議院能源和商業委員會致函蘋果 CEO 蒂姆·庫克,要求提供更多關於客戶在使用某些應用程式時從其移動裝置收集哪些資料的資訊 (pdf)。這些擔憂促使蘋果公司疏遠或直接拒絕收集 UDID 資訊的應用程式。
除了 UDID 之外,AntiSec 聲稱 FBI 筆記型電腦還包含有關裝置型別、用於向 iOS 裝置推送通知的程式碼、使用者名稱、郵政編碼、手機號碼和地址的資訊。AntiSec 表示,它清理了釋出的 100 萬條記錄,僅包含四列資料——UDID、Apple Push Notification Service DevToken、裝置名稱和裝置型別。列出的 iPad 之一的名稱為“奧巴馬”。
計算機安全公司 Rapid7 的研究員 Marcus Carey 表示,AntiSec 公佈的資料似乎是合法的。他補充說:“偽造這些記錄將是一場精心策劃的騙局。”
Carey 說,UDID 不允許任何人直接攻擊 Apple 裝置。攻擊者可能會透過偽造洩露列表中的 UDID,使用 UDID 登入某些應用程式。他補充說:“許多應用程式允許使用者使用 UDID 而不是使用者名稱和密碼進行身份驗證。列表中的所有 UDID 都容易受到此類攻擊。”
Carey 說,FBI 特工可能有正當理由訪問這些資料。“假設該特工正在調查資料洩露事件,這可能是來自另一次洩露的潛在證據,”他補充道。“在我們收到司法部的訊息之前,一切都只是猜測。我不認為這會對 Apple 使用者產生長期影響。”
* 編者注(2012 年 9 月 11 日):數字出版公司 BlueToad, Inc. 於 9 月 10 日聲稱,它“成為了犯罪網路攻擊的受害者,這導致 Apple UDID 從我們的系統中被盜。此後不久,一個不明身份的組織在網際網路上釋出了這些 UDID。” BlueToad 的承認進一步質疑了 AntiSec 聲稱其從 FBI 計算機竊取了 UDID 的說法。
圖片由 MJ Photography 提供,透過 iStockphoto.com