本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
美国联邦调查局 (FBI) 表示,没有证据支持黑客组织 AntiSec 声称其从一台安全措施薄弱的机构计算机上窃取了超过 1200 万部 iPhone、iPad 和 iPod Touch 的数字序列号。
美国联邦调查局周二发布声明表示,该机构“知悉已发布的报告,声称 FBI 笔记本电脑遭到入侵,并且与 Apple UDID [唯一设备标识符] 相关的私人数据被泄露。目前,没有证据表明 FBI 笔记本电脑遭到入侵,或者 FBI 曾寻求或获取过这些数据。”
此事发生之前,AntiSec 公开了超过 100 万条此类记录,以证明其发现了一台包含该信息的 FBI 计算机,并引发了关于为什么机构笔记本电脑首先包含此信息的问题。*
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将有助于确保未来能够继续报道关于塑造我们当今世界的发现和想法的具有影响力的故事。
AntiSec 声称,它于 3 月从 FBI 区域网络行动小组和纽约 FBI 办公室证据响应小组主管特工 Christopher K. Stangl 使用的 Dell 笔记本电脑中获取了信息。黑客表示,他们能够利用 Java 软件漏洞窃取信息。甲骨文公司(在 2009 年收购 Java 创建者 Sun Microsystems 后拥有 Java 的权利)已于 2 月发布了补丁来修复该问题,这意味着 FBI 没有修复这台特定计算机上的安全漏洞。
应用程序开发者、分析服务、社交网络和游戏公司使用 UDID(分配给每个 iOS 设备的 40 位数字长的唯一字母数字代码)来跟踪使用其软件和服务的设备的位置。根据居住在新西兰的程序员和安全顾问 Aldo Cortesi 于 2011 年 5 月发布的一篇博客文章,“用户无法阻止他们的设备提供 UDID,告知他们的数据被发送给谁,甚至告知这正在发生。”
对从 Apple 设备收集用户信息的担忧已经酝酿了一段时间。今年 3 月,美国众议院能源和商业委员会致函苹果 CEO 蒂姆·库克,要求提供更多关于客户在使用某些应用程序时从其移动设备收集哪些数据的信息 (pdf)。这些担忧促使苹果公司疏远或直接拒绝收集 UDID 信息的应用程序。
除了 UDID 之外,AntiSec 声称 FBI 笔记本电脑还包含有关设备类型、用于向 iOS 设备推送通知的代码、用户名、邮政编码、手机号码和地址的信息。AntiSec 表示,它清理了发布的 100 万条记录,仅包含四列数据——UDID、Apple Push Notification Service DevToken、设备名称和设备类型。列出的 iPad 之一的名称为“奥巴马”。
计算机安全公司 Rapid7 的研究员 Marcus Carey 表示,AntiSec 公布的数据似乎是合法的。他补充说:“伪造这些记录将是一场精心策划的骗局。”
Carey 说,UDID 不允许任何人直接攻击 Apple 设备。攻击者可能会通过伪造泄露列表中的 UDID,使用 UDID 登录某些应用程序。他补充说:“许多应用程序允许用户使用 UDID 而不是用户名和密码进行身份验证。列表中的所有 UDID 都容易受到此类攻击。”
Carey 说,FBI 特工可能有正当理由访问这些数据。“假设该特工正在调查数据泄露事件,这可能是来自另一次泄露的潜在证据,”他补充道。“在我们收到司法部的消息之前,一切都只是猜测。我不认为这会对 Apple 用户产生长期影响。”
* 编者注(2012 年 9 月 11 日):数字出版公司 BlueToad, Inc. 于 9 月 10 日声称,它“成为了犯罪网络攻击的受害者,这导致 Apple UDID 从我们的系统中被盗。此后不久,一个不明身份的组织在互联网上发布了这些 UDID。” BlueToad 的承认进一步质疑了 AntiSec 声称其从 FBI 计算机窃取了 UDID 的说法。
图片由 MJ Photography 提供,通过 iStockphoto.com