NSAの情報を漏らしたエドワード・スノーデン氏の新たな文書が今週末、ドイツの新聞「デア・シュピーゲル」によって公開され、GCHQがどのようにしてユーザーの同意なしにiPhoneユーザーを追跡していたかについて新たな知見が得られた。
GCHQの米国カウンターパートであるNSAがiPhoneのソフトウェアを侵害するために頼った特定の脆弱性を利用するのではなく、GCHQはさまざまなサービスにわたってデバイスのUDIDを追跡することでターゲットを監視した。
侵入されたコンピューターとの同期が行われたときに、デバイス自体からデータを引き出すことさえできました。
GCHQ は、英国政府通信本部 (The Government Communications Headquarters) の略称で、英国政府および軍隊に信号諜報と情報保証を提供する責任を負う英国の諜報・安全保障組織です。
GCHQは、デア・シュピーゲルがPDF文書としてここに掲載した2010年11月の報告書の中で、UDIDによって同組織は「侵害を受けたマシンと同期したデバイス、ウェブを閲覧したデバイス(機関のSafariエクスプロイトにさらす)、またはAdMobのようなより広範な追跡システムにデータを送信したデバイスを追跡できる」と述べている。
同紙によると、デバイスのUDIDが公開されたことで、GCHQの研究者はそれを使用している人物を特定できたという。
UDID (Unique Device Identifier) は、開発者が iTunes Connect ポータルに UDID をリストすることで、許可されたデバイス上でアプリをテストするために実装する 40 文字の識別子です。
デバイスが接続されている場合は、情報パネルのシリアル番号フィールドをクリックすると、iTunes でデバイスの UDID に簡単にアクセスできます。
一部の開発者や広告ネットワークが UDID を悪用し、セキュリティ上の懸念に対処していたため、Apple は 2012 年夏に、開発者が UDID を使用せずにアプリの使用状況データを収集できるようにする新しい追跡ツールの展開を開始しました。
出典: The Verge経由のDer Spiegel
