อันตรายที่อาจเกิดขึ้นจากการรั่วไหลของ iOS UDID จำนวนมากคืออะไร?

ทุกคนสามารถให้ความกระจ่างแก่เราเกี่ยวกับสิ่งที่แฮ็กเกอร์สามารถใช้ UDID หนึ่ง (หรือรายการ)

การรั่วไหลของรายงาน 4 กันยายนจาก 1 ล้าน UDID โดย AntiSec ทำให้ฉันกังวล แต่ฉันควร

สถานการณ์ที่เลวร้ายที่สุดกับแฮ็กเกอร์ที่มี UDID ล้านตัวคืออะไร

ตอนนี้ "ความจริง" ได้ออกมามากขึ้นการรั่วไหลนี้มาจากบริษัท บุคคลที่สามคือ Blue Toadและโดยบัญชีที่มีชื่อเสียงทั้งหมด การรั่วไหลไม่ได้มีปริมาณของ UDID หรือข้อมูลส่วนบุคคลเพิ่มเติม เกี่ยวกับ." การรั่วไหลเป็นข้อมูลที่เก็บรวบรวมตามนโยบายที่มีอยู่โดย Apple และ app store และไม่ได้มีลักษณะเฉพาะเนื่องจาก บริษัท หลายร้อยแห่งจะมีปริมาณและประเภทของข้อมูลนั้นเนื่องจากการใช้ UDID ในอดีตเพื่อระบุลูกค้า

เอกสารที่รั่วไหลออกมานั้นส่วนใหญ่ไม่เป็นอันตรายจากมุมมองทางเทคนิค แต่ค่อนข้างน่าตกใจถ้าคุณคาดว่าจะเป็นส่วนตัวและตอนนี้มีรายละเอียดบางอย่างเปิดเผยต่อสาธารณะ

มันมีหนึ่งบรรทัดที่มีข้อมูลประเภทต่อไปนี้สำหรับแต่ละอุปกรณ์ที่มีการระบุไว้:

UDID, โทเค็น APNS, ชื่ออุปกรณ์, ประเภทอุปกรณ์

หากคุณไม่ใช่โปรแกรมเมอร์และเรียกใช้บริการที่สามารถส่งข้อความผ่านบริการแจ้งเตือนแบบพุช (APNS) ของ Apple คุณจะไม่สามารถดำเนินการใด ๆ กับไฟล์ที่รั่วไหลออกมาได้

หากคุณมีบันทึกธุรกรรมที่แสดง UDID หรือชื่อ / ประเภทอุปกรณ์และต้องการยืนยันข้อมูลอีกชิ้นหนึ่งไฟล์นี้สามารถใช้เพื่อเชื่อมโยงข้อมูลสองชิ้นเข้าด้วยกันหากคุณมีข้อมูลนั้นอยู่แล้ว

จุดอ่อนด้านความปลอดภัยที่แท้จริงคือ "การรั่วไหล" นี้มาจากไฟล์สเปรดชีตที่คาดคะเนว่ามี 12 ล้านรายการ - ไม่ใช่ล้านที่รั่วไหลออกมา ข้อมูลที่ดีที่สุดที่เรามี (ถ้าคุณเชื่อว่าคำพูดของข้อความที่ปล่อยออกมา ซึ่งมีความหยาบคายเล็กน้อยถ้าคุณสนใจเรื่องนั้น ) คือข้อมูลจริงที่ถูกขโมยก็มีข้อมูลส่วนตัวเช่นรหัสไปรษณีย์หมายเลขโทรศัพท์ที่อยู่ และชื่อเต็มของผู้ที่เกี่ยวข้องกับโทเค็น UDID และ APNS

ข้อมูลประเภทนั้นอยู่ในมือของคนมีฝีมือ (พนักงานของรัฐ, แฮ็กเกอร์หรือเพียงแค่วิศวกรที่มีความขุ่นเคืองใจกับคุณ) เป็นสิ่งที่อาจสร้างความเสียหายให้กับพวกเราส่วนใหญ่ในแง่การละเมิดความเป็นส่วนตัวของเรา ไม่มีอะไรในรุ่นนี้ที่ดูเหมือนว่าจะลดความปลอดภัยของการใช้อุปกรณ์ของคุณ - แต่มันจะทำให้สิ่งต่าง ๆ ที่ปกติจะถูกมองว่าเป็นนิรนามน้อยลงดังนั้นถ้า FBI ดำเนินการเป็นประจำในรายการข้อมูลสมาชิกหลายล้าน แอปพลิเคชันใช้กับอุปกรณ์เฉพาะหรือบุคคลที่ระบุ

เหตุการณ์ที่เลวร้ายที่สุดที่ข้อมูลรั่วไหลในวันนี้อาจเป็นคนที่ลงทะเบียนกับ Apple แล้วเพื่อส่งการแจ้งเตือนแบบพุชอาจพยายามส่งข้อความที่ไม่พึงประสงค์ไปยังอุปกรณ์ล้านเครื่อง (สมมติว่าโทเค็น APNS นั้นยังคงใช้ได้) หรือ UDID หากพวกเขาสามารถเข้าถึงบันทึกที่มีความละเอียดอ่อนหรือฐานข้อมูลจากนักพัฒนาหรือนิติบุคคลอื่น การรั่วไหลนี้ไม่อนุญาตให้เข้าถึงจากระยะไกลในลักษณะที่รู้รหัสผ่านและ ID ผู้ใช้

ในฐานะที่เป็นบันทึกของ bmike UDID ในตัวมันเองไม่ได้สร้างความเสียหายโดยเฉพาะ แต่ถ้าผู้บุกรุกสามารถที่จะประนีประนอมฐานข้อมูลอื่น ๆ ที่ UDID ถูกนำมาใช้รวมกันได้ผลไม่น้อยในการระบุข้อมูลส่วนบุคคลเช่นบทความนี้จากเดือนพฤษภาคม 2012 ออกวาง: De-anonymizing แอปเปิ้ล UDIDs กับ OpenFeint

เช่นเดียวกับการแฮ็กของ Mat Honan ที่ได้รับการเผยแพร่อย่างแพร่หลายเมื่อเร็ว ๆ นี้การฝ่าฝืนการรักษาความปลอดภัยเพียงอย่างเดียวอาจไม่ยุ่งยากเกินไป แต่ความเสียหายอาจเพิ่มขึ้นอย่างมากหากผู้โจมตีสามารถฝ่าฝืนบริการอื่นที่คุณใช้