Czy ktoś może oświecić nas, do czego haker mógłby użyć jednego (lub listy) UDID?
Wyciek zgłoszony 4 września z 1 miliona UDID przez AntiSec mnie martwi. Ale powinienem?
Jaki jest najgorszy scenariusz z hakerem, który ma milion UDID?
Czy ktoś może oświecić nas, do czego haker mógłby użyć jednego (lub listy) UDID?
Wyciek zgłoszony 4 września z 1 miliona UDID przez AntiSec mnie martwi. Ale powinienem?
Jaki jest najgorszy scenariusz z hakerem, który ma milion UDID?
Odpowiedzi:
Teraz, gdy pojawiło się więcej „prawdy”, wyciek ten pochodzi od firmy trzeciej, Blue Toad i według wszystkich renomowanych kont , wyciek w rzeczywistości nie zawierał ani wolumenu UDID, ani dodatkowych danych osobowych, które można by uznać za „ o." Wyciek dotyczył danych zebranych zgodnie z obowiązującymi zasadami przez Apple i sklep z aplikacjami i nie jest wcale wyjątkowy, ponieważ setki firm będą miały taką ilość i rodzaj danych z powodu wcześniejszego użycia UDID do identyfikacji klientów.
Sam wyciek dokumentu jest w większości nieszkodliwy z technicznego punktu widzenia, ale dość szokujący, jeśli spodziewałeś się, że będziesz prywatny, a niektóre szczegóły ujawnisz publicznie.
Zawiera jeden wiersz z następującymi rodzajami informacji dla każdego urządzenia, które ma znajdować się na liście:
UDID, token APNS, nazwa urządzenia, typ urządzenia
O ile nie jesteś programistą i nie uruchomisz usługi, która może przekazywać wiadomości za pośrednictwem usługi powiadomień wypychanych Apple (APNS), nie możesz naprawdę podjąć żadnych działań w oparciu o wyciekły plik.
Jeśli masz zapisy transakcji zawierające UDID lub nazwę / typ urządzenia i chciałeś potwierdzić inną informację, ten plik może być użyty do połączenia dwóch informacji, jeśli już je posiadałeś.
Prawdziwymi konsekwencjami bezpieczeństwa jest to, że ten „wyciek” pochodzi z pliku arkusza kalkulacyjnego, który podobno zawiera 12 milionów wpisów - a nie miliona, które wyciekły. Najlepszą dostępną informacją (jeśli wierzysz w słowa wydania, które mają nieco wulgaryzmy, jeśli zależy ci na tego rodzaju rzeczach ), że skradzione dane miały również bardzo osobiste informacje, takie jak kody pocztowe, numery telefonów, adresy oraz pełne nazwiska osób powiązanych z tokenami UDID i APNS.
Tego rodzaju informacje w rękach wykwalifikowanej osoby (pracownika rządowego, hakera lub po prostu inżyniera z pretensją do ciebie) to coś, co może wyrządzić szkodę większości z nas pod względem naruszenia naszej prywatności. Nic w tej wersji nie wydaje się zagrażać bezpieczeństwu korzystania z urządzenia - ale sprawia, że rzeczy, które normalnie byłyby postrzegane jako mniej anonimowe, więc jeśli FBI regularnie przenosi listy milionów informacji o subskrybentach, które pozwolą im powiązać dzienniki wykorzystanie aplikacji na określonym urządzeniu lub określonej osobie.
Najgorszym przypadkiem, w którym dziś wyciekłyby dane, byłby ktoś, kto już zarejestrował się w Apple, aby wysyłać powiadomienia wypychane, może być może spróbować wysłać niezamówione wiadomości do miliona urządzeń (zakładając, że tokeny APNS są nadal ważne) lub w inny sposób skorelować nazwę urządzenia z UDID, jeśli mieli dostęp do poufnych dzienników lub bazy danych od programisty lub innego podmiotu. Ten wyciek nie pozwala na zdalny dostęp w sposób podobny do znajomości hasła i identyfikatora użytkownika.
Jak zauważa bmike, sam UDID nie jest szczególnie szkodliwy. Jeśli jednak osoby atakujące będą w stanie narazić na szwank inne bazy danych, w których używany jest UDID, kombinacja może przynieść sporo identyfikacji danych osobowych, jak to opisano w tym artykule z maja 2012 r .: Dezonimizacja identyfikatorów UDID firmy Apple za pomocą OpenFeint .
Podobnie jak w przypadku niedawno opublikowanego hackowania Mat Honan , samo złamanie zabezpieczeń może nie być zbyt kłopotliwe, ale szkody mogą wzrosnąć wykładniczo, jeśli atakujący mogą naruszyć inną usługę, z której korzystasz.