Wat is UDID?

Een losse UDID betekent niet zoveel, het is immers niet meer dan een unieke alfanumerieke serie. Maar het betekent wel wat wanneer appfabrikanten de string gebruiken om voorkeuren en andere gegevens aan een UDID te koppelen. Zo kan fabrikant X verschillende instellingen hebben voor de UDID van gebruiker Y en gebruiker Z. Ook kunnen appmakers onderscheid maken tussen de iPhone en iPad van gebruikers. Adverteerders kunnen door naar een UDID te kijken gebruikers gepersonaliseerde advertenties tonen. De UDID is oorspronkelijk bedacht voor ontwikkelaars om het voor hen mogelijk te maken een betaversie van hun app aan een beperkte groep gebruikers (maximaal 100) te verstrekken.

Verzamelen, koppelen en opslaan in een database

De schoen wringt zich bij de koppeling van UDID aan gegevens van betekenis. Afhankelijk van hoe de database van een appfabrikant werkt, kan een UDID gelinkt worden aan een gebruikersnaam, wachtwoord, logingegevens voor sociale netwerken en NAW-gegevens en ontstaan vanzelf gebruikersprofielen. Omdat begin dit jaar bleek dat steeds meer apps zonder toestemming allerlei informatie van gebruikers opsloegen en (onversleuteld) koppelden aan de UDID, heeft Apple maatregelen getroffen om het gebruik van UDID’s door appmakers terug te dringen om zo de privacy van zijn klanten beter te beschermen.

Adverteerders reageerden teleurgesteld op de beslissing van Apple om het gebruik van UDID te beperken en claimen daardoor 24 procent minder omzet te maken. In juni werd bekend dat veel adverteerders de privacymaatregelen omzeilen door gebruikersgegevens te verkrijgen aan de hand van het Open Device Identification Network (ODIN), een ander uniek nummer van een iOS-toestel, gegenereerd aan de hand van het MAC-adres van de WiFi-chip van het apparaat. Wat dat betreft is het gevaar van koppeling en onveilig opslaan van gegevens nog niet geweken.

'Mijn digitale leven werd verwoest'

Het onveilig opslaan van gekoppelde UDID-gegevens kan catastrofale gevolgen hebben, zo ondervond de Amerikaanse journalist Mat Honan eerder dit jaar. Doordat via Amazon zijn Apple-account gestolen werd, verkregen hackers toegang tot de database UDID-gegevens van Honan. Vervolgens werden zijn iPhone, iPad en Macbook gewist en zijn Google- en Twitter-account gekraakt. Zou UDID niet bestaan hebben of door Apple in een eerder stadium beter zijn beveiligd, dan was de schade waarschijnlijk niet zo groot geweest.

Deze week zijn UDID’s door een hack van een slecht beveiligde laptop van een FBI-agent opnieuw op een negatieve manier in het nieuws. Door gebruik te maken van een bekend Java-lek werden 12.367.232 UDID’s naar de hackers van AntiSec gedownload. In de door de FBI gekoppelde ruwe gegevens stonden volgens de activisten onder andere pushgegevens van de iOS-apparaten, postcodes en telefoonnummers van Apple-gebruikers. AntiSec publiceerde als bewijs van de hack 1.000.001 apparaatidentifiers op social mediasite Pastebin, maar censureerde daarbij de informatie die te herleiden is naar gebruikers omdat de groep ageert tegen de overheid en de FBI en niet tegen de betrokken individuen. Het is nog onduidelijk waarom de FBI de gegevens verzamelde.

Ben je benieuwd naar de UDID’s van je eigen apparaten? Je kunt deze eenvoudig opzoeken door je iPhone of iPad te koppelen aan je computer en iTunes op te starten. In het overzichtsscherm van je apparaat zie je een serienummer staan en als je deze aanklikt, verschijnt je UDID. Deze kun je vervolgens via CTRL-C of Cmd-C kopiëren naar een andere applicatie.

© CIDimport