Какие потенциальные опасности возникают из-за массовой утечки UDID iOS?

19

Может ли кто-нибудь рассказать нам, для чего хакер может использовать один (или список) UDID?

Утечка, сообщенная 4 сентября 1 миллионом UDID от AntiSec, вызывает у меня беспокойство. Но я должен?

Каков наихудший сценарий с хакером, у которого миллион UDID?

security udid apns Итан Ли
источник
1
Поскольку мы не являемся сайтом для программирования, я отвечу на это аудитории - пользователям продуктов Apple. Возможно, вы бы получили другой ответ, если бы спросили, как использовать токены APNS ( которые, очевидно, могут устареть и которые в настоящее время Apple рандомизируют для каждого приложения ) на сайте, который больше ориентирован на программирование.
bmike

Ответы:

18

Теперь, когда появилось больше «правды», эта утечка произошла от сторонней компании, Blue Toad и всех авторитетных учетных записей , утечка на самом деле не содержала ни объема UDID, ни дополнительных личных данных, которые кого-то бы поразили ». относительно." Утечка произошла из-за данных, собранных в соответствии с существующей политикой Apple и магазина приложений, и вовсе не уникальна, поскольку сотни компаний будут иметь такой объем и тип данных из-за прошлого использования UDID для идентификации клиентов.

Утечка самого документа в основном безвредна с технической точки зрения, но довольно шокирующая, если вы ожидаете, что будете частными, и теперь некоторые детали будут обнародованы.

Он содержит одну строку со следующими типами информации для каждого устройства, которое должно быть указано в списке:

UDID, токен APNS, имя устройства, тип устройства

Если вы не являетесь программистом и не запускаете службу, которая может передавать сообщение через службу push-уведомлений Apple (APNS), то вы не сможете предпринять какие-либо действия на основе утечки файла.

Если у вас есть записи транзакций, в которых указан UDID или имя / тип устройства, и вы хотите подтвердить другую часть информации, этот файл можно использовать для связывания двух частей информации, если у вас уже была эта информация.

Настоящие последствия для безопасности заключаются в том, что эта «утечка» происходит из файла электронной таблицы, который предположительно содержит 12 миллионов записей, а не миллион, которые были утечки. Самая лучшая информация, которую мы имеем (если вы верите словам в тексте релиза, который имеет незначительную ненормативную лексику, если вы заботитесь о подобных вещах), это то, что реальные данные, которые были украдены, также имели очень личную информацию, такую ​​как почтовые индексы, номера телефонов, адреса и полные имена людей, связанных с токенами UDID и APNS.

Такая информация в руках квалифицированного человека (государственного служащего, хакера или просто инженера, обиженного на вас) - это то, что может нанести ущерб большинству из нас с точки зрения нарушения нашей конфиденциальности. Ничто в этом выпуске не могло бы поставить под угрозу безопасность вашего использования устройства, но оно делает вещи, которые обычно считаются анонимными, меньше, поэтому, если ФБР регулярно несет списки миллионов подписчиков, которые позволяют им связывать журналы использование приложения для конкретного устройства или конкретного человека.

В худшем случае с утечкой данных сегодня будет тот, кто уже зарегистрировался в Apple для отправки push-уведомлений, возможно, попытается отправить нежелательные сообщения на миллион устройств (при условии, что токены APNS все еще действительны) или иным образом сопоставить имя устройства с UDID, если они имели доступ к конфиденциальным журналам или базе данных от разработчика или другого объекта. Эта утечка не позволяет удаленный доступ так, как если бы вы знали пароль и идентификатор пользователя.

bmike
источник
1
Если Apple того стоит, токены APNS будут отозваны как можно скорее. Тем не менее, я не буду терять надежду, они не очень отзывчивы на вопросы безопасности в прошлом.
JRG
2
Лично я собираюсь поговорить со своими конгрессменами, чтобы понять, действительно ли ФБР не только переносит около 12 миллионов токенов UDID / APNS / разных других незашифрованных персональных данных на переносном компьютере, но, что еще хуже, удалось их украсть.
bmike
2
Токены APNS бесполезны для тех, у кого нет полного цифрового сертификата APNS, созданного разработчиком приложения. Невозможно отправлять уведомления в приложение без сертификата этого приложения. Нет необходимости отзывать токены. На самом деле, Apple, вероятно, не может, не ставя новые биты на телефоне.
Оми
@bmike спасибо за ваш подробный ответ. Если на самом деле в ФБР было 12 миллионов + UDID, что они могли с ними сделать и могли ли они пойти так далеко, чтобы отслеживать местоположение и / или использование наших iPhone?
Итан Ли
1
Подождите, пожалуйста! Нужно больше изощренности, все, что мы знаем, это то, что кто-то получил UDID и сказал, что ФБР украло их. Правдоподобно, конечно. Настолько правдоподобно, что мы поверим любому, кто скажет ФБР, возможно, именно поэтому, кто бы ни взял это, бросил ФБР под автобус! Давайте подождем, чтобы услышать больше, прежде чем участвовать в бесполезном обращении к избранным представителям ...
chiggsy
7

Как отмечает bmike, UDID сам по себе не особенно вреден. Однако, если злоумышленники могут скомпрометировать другие базы данных, в которых используется UDID, комбинация может дать довольно много информации для идентификации личной информации, как говорится в этой статье за ​​май 2012 года: деанонимизация идентификаторов UDID Apple с помощью OpenFeint .

Как и в случае с недавним широко разрекламированным взломом Mat Honan , одно только одно нарушение безопасности не может быть слишком хлопотным, но ущерб может стать экспоненциальным, если злоумышленники могут взломать другую службу, которую вы используете.

robmathers
источник
4
Очень верно о возможности использовать эту информацию для перекрестных ссылок с другими базами данных. Это намного страшнее с возможностью связать адрес, имя и телефонные номера в 12-миллионном файле записи.
bmike