Il governo britannico ha sfruttato gli UDID di iPhone per violare le comunicazioni di privati cittadini. Il retroscena è svelato da nuovi documenti di Edward Snowden pubblicati dalla testata Der Spiegel.
Secondo quel che si apprende dal giornale tedesco, il quartier generale del governo per le comunicazioni britannico (GCHQ) aveva nel mirino alcuni obiettivi che utilizzavano iPhone e non aveva neppure bisogno di compromettere il telefono o le comunicazioni, come pare abbia fatto la NSA ma solo il computer. Secondo Snowden i dati sul telefono potevano infatti essere “rubati” durante la sincronizzazione di un computer a sua volta compromesso. Altre tecniche permettevano agli operatori del GCHQ di sorvegliare gli obiettivi seguendo l’UDID del dispositivo tra i diversi servizi. Leggendo il numero UDID del bersaglio, il GCHQ poteva seguire lo stesso dispositivo in quanto sincronizzato con una macchina compromessa, mentre navigava sul web (esponendola dunque a potenziali exploit su Safari), o quando inviava i dati a un sistema di tracciamento più ampio, come ad esempio il network pubblicitario AdMob.
L’UDID è l’Identificativo Univoco del Dispositivo, un codice alfanumerico che identifica in maniera univoca il vostro iPhone. Riuscire a individuare l’UDID, significa avere potenzialmente a disposizione numerosissime informazioni sul dispositivo, oltre al potenziale accesso a molti dati che transitavano attraverso iPhone, iPod o iPad. Apple ha ora limitato fortemente la diffusione dell’UDID che in precedenza era comunicato anche ad alcuni inserzionisti pubblicitari.
Il rapporto pubblicato dal Der Spiegel è datato novembre 2010, prima che Apple iniziasse a deprecare la diffusione del sistema UDID, ma i documenti mostrano quanto fosse utile per i sistemi di sorveglianza mentre era ancora operativo.
Come accennato, rivelazioni precedenti hanno dimostrato che la stessa NSA ha utilizzato tattiche simili, compromettendo i cookie utilizzati dai network pubblicitari come metodo di tracciamento degli utenti attraverso il web, in modo da sfruttare qualsiasi metodo di identificazione degli utenti come efficace strumento di sorveglianza.