Quali potenziali pericoli derivano da una fuga UDID di massa su iOS?

19

Qualcuno può illuminarci con quello che un hacker potrebbe usare uno (o un elenco di) UDID per?

La perdita segnalato il 4 settembre di 1 milione di UDID di AntiSec mi fa preoccupare. Ma dovrei?

Qual è lo scenario peggiore con un hacker che ha un milione di UDID?

    
posta Ethan Lee 04.09.2012 - 19:33
fonte

2 risposte

18

Ora che è venuta fuori più "verità", questa fuga proviene da una società di terze parti, Blue Toad e all reputable account , la perdita non conteneva infatti il volume di UDID o il personale addizionale dati che colpirebbero chiunque come "concernente". La perdita è stata di dati raccolti secondo la politica esistente di Apple e l'app store e non è affatto unica in quanto centinaia di aziende avranno quel volume e tipo di dati a causa del passato utilizzo di UDID per identificare i clienti.

Lo stesso documento trapelato è in gran parte innocuo dal punto di vista tecnico, ma piuttosto scioccante se ci si aspetta che sia privato e ora alcuni dettagli vengono esposti pubblicamente.

Contiene una riga con i seguenti tipi di informazioni per ogni dispositivo che si presume sia elencato:

UDID, token APNS, nome dispositivo, tipo dispositivo

A meno che tu non sia un programmatore ed esegui un servizio in grado di inviare un messaggio tramite il servizio di notifica push di Apple (APNS), non puoi eseguire alcuna azione in base al file trapelato.

Se si dispone di registrazioni di transazioni che elencano un UDID o un nome / tipo di dispositivo e si desidera confermare un'altra informazione, questo file potrebbe essere utilizzato per collegare insieme due informazioni se si dispone già di tali informazioni.

Le vere ramificazioni della sicurezza sono che questa "fuga" proviene da un foglio di calcolo che presumibilmente contiene 12 milioni di voci, non il milione che è trapelato. Le migliori informazioni che abbiamo (se credete alle parole del testo di rilascio che hanno qualche blasfemo se vi preoccupate di quel tipo di cosa ) è che i dati reali che sono stati rubati hanno anche informazioni molto personali come codici postali, numeri di telefono, indirizzi e nomi completi di persone associate ai token UDID e APNS.

Quel genere di informazioni nelle mani di una persona qualificata (impiegato governativo, hacker o semplicemente un ingegnere con rancore verso di te) è qualcosa che potrebbe danneggiare la maggior parte di noi in termini di violazione della nostra privacy. Niente in questa versione sembrerebbe compromettere la sicurezza del tuo utilizzo del dispositivo, ma rende le cose che normalmente sarebbero considerate meno anonimi, quindi se l'FBI trasporta regolarmente elenchi di milioni di informazioni sugli abbonati che permetterebbero loro di legare i log di uso dell'applicazione su un dispositivo specifico o una persona specifica.

L'evento peggiore con i dati trapelati oggi sarebbe qualcuno che si è già registrato con Apple per inviare notifiche push potrebbe forse tentare di inviare messaggi non richiesti ai milioni di dispositivi (supponendo che i token APNS siano ancora validi) o altrimenti correlare un dispositivo nominare un UDID se hanno accesso a registri sensibili oa un database da uno sviluppatore o un'altra entità. Questa perdita non consente l'accesso remoto nel modo in cui conoscere la password e l'ID utente.

    
risposta data 04.09.2012 - 19:53
fonte
7

Come nota su bmike, l'UDID non è particolarmente dannoso. Tuttavia, se gli hacker sono in grado di compromettere altri database in cui viene utilizzato UDID, la combinazione potrebbe produrre un bel po 'di identificazione delle informazioni personali, in quanto questo articolo di maggio 2012 espone: De-anonimizzazione degli UDID di Apple con OpenFeint .

Come per il recente Mat Honan hack , una violazione della sicurezza da sola potrebbe non essere eccessivamente fastidiosa, ma il danno può aumentare esponenzialmente se gli aggressori possono violare un altro servizio che usi.

    
risposta data 04.09.2012 - 22:13
fonte

Leggi altre domande sui tag