Какие потенциальные опасности возникают из-за массовой утечки UDID iOS?

Может ли кто-нибудь рассказать нам, для чего хакер может использовать один (или список) UDID?

Утечка, сообщенная 4 сентября 1 миллионом UDID от AntiSec, вызывает у меня беспокойство. Но я должен?

Каков наихудший сценарий с хакером, у которого миллион UDID?

Теперь, когда появилось больше «правды», эта утечка произошла от сторонней компании, Blue Toad и всех авторитетных учетных записей , утечка на самом деле не содержала ни объема UDID, ни дополнительных личных данных, которые кого-то бы поразили ». относительно." Утечка произошла из-за данных, собранных в соответствии с существующей политикой Apple и магазина приложений, и вовсе не уникальна, поскольку сотни компаний будут иметь такой объем и тип данных из-за прошлого использования UDID для идентификации клиентов.

Утечка самого документа в основном безвредна с технической точки зрения, но довольно шокирующая, если вы ожидаете, что будете частными, и теперь некоторые детали будут обнародованы.

Он содержит одну строку со следующими типами информации для каждого устройства, которое должно быть указано в списке:

UDID, токен APNS, имя устройства, тип устройства

Если вы не являетесь программистом и не запускаете службу, которая может передавать сообщение через службу push-уведомлений Apple (APNS), то вы не сможете предпринять какие-либо действия на основе утечки файла.

Если у вас есть записи транзакций, в которых указан UDID или имя / тип устройства, и вы хотите подтвердить другую часть информации, этот файл можно использовать для связывания двух частей информации, если у вас уже была эта информация.

Настоящие последствия для безопасности заключаются в том, что эта «утечка» происходит из файла электронной таблицы, который предположительно содержит 12 миллионов записей, а не миллион, которые были утечки. Самая лучшая информация, которую мы имеем (если вы верите словам в тексте релиза, который имеет незначительную ненормативную лексику, если вы заботитесь о подобных вещах), это то, что реальные данные, которые были украдены, также имели очень личную информацию, такую ​​как почтовые индексы, номера телефонов, адреса и полные имена людей, связанных с токенами UDID и APNS.

Такая информация в руках квалифицированного человека (государственного служащего, хакера или просто инженера, обиженного на вас) - это то, что может нанести ущерб большинству из нас с точки зрения нарушения нашей конфиденциальности. Ничто в этом выпуске не могло бы поставить под угрозу безопасность вашего использования устройства, но оно делает вещи, которые обычно считаются анонимными, меньше, поэтому, если ФБР регулярно несет списки миллионов подписчиков, которые позволяют им связывать журналы использование приложения для конкретного устройства или конкретного человека.

В худшем случае с утечкой данных сегодня будет тот, кто уже зарегистрировался в Apple для отправки push-уведомлений, возможно, попытается отправить нежелательные сообщения на миллион устройств (при условии, что токены APNS все еще действительны) или иным образом сопоставить имя устройства с UDID, если они имели доступ к конфиденциальным журналам или базе данных от разработчика или другого объекта. Эта утечка не позволяет удаленный доступ так, как если бы вы знали пароль и идентификатор пользователя.

Как отмечает bmike, UDID сам по себе не особенно вреден. Однако, если злоумышленники могут скомпрометировать другие базы данных, в которых используется UDID, комбинация может дать довольно много информации для идентификации личной информации, как говорится в этой статье за ​​май 2012 года: деанонимизация идентификаторов UDID Apple с помощью OpenFeint .

Как и в случае с недавним широко разрекламированным взломом Mat Honan , одно только одно нарушение безопасности не может быть слишком хлопотным, но ущерб может стать экспоненциальным, если злоумышленники могут взломать другую службу, которую вы используете.