¿Puede alguien iluminarnos con lo que un hacker podría usar uno (o una lista de) UDID para?
La fuga reportado el 4 de septiembre de 1 millón de UDID por AntiSec me preocupa. Pero ¿debería?
¿Cuál es el peor de los casos con un pirata informático que tiene un millón de UDID?
Ahora que ha salido más "verdad", esta filtración fue de una compañía de terceros, Blue Toad y por all reputable cuentas , la fuga de hecho no contenía el volumen de UDID ni el personal adicional Datos que a cualquiera le parecería "preocupantes". La fuga fue de datos recopilados de acuerdo con la política existente de Apple y la tienda de aplicaciones, y no es nada especial, ya que cientos de empresas tendrán ese volumen y tipo de datos debido al uso anterior de UDID para identificar a los clientes.
El documento filtrado en sí mismo es en su mayoría inofensivo desde un punto de vista técnico, pero es bastante sorprendente si esperaba ser privado y ahora tiene algunos detalles expuestos públicamente.
Contiene una línea con los siguientes tipos de información para cada dispositivo que se pretende enumerar:
UDID, token APNS, nombre del dispositivo, tipo de dispositivo
A menos que usted sea un programador y ejecute un servicio que pueda enviar un mensaje a través del servicio de notificaciones push de Apple (APNS), entonces realmente no puede realizar ninguna acción en función del archivo filtrado.
Si tiene registros de transacciones que enumeran un UDID o un nombre / tipo de dispositivo y desea confirmar otra información, este archivo podría usarse para vincular dos informaciones si ya tenía esa información.
Las ramificaciones de seguridad reales son que esta "filtración" proviene de un archivo de hoja de cálculo que supuestamente contiene 12 millones de entradas, no el millón que se filtró. La mejor información que tenemos (si cree en las palabras del texto de lanzamiento que tiene cierta profanidad si le importa ese tipo de cosa ) es que los datos reales que fueron robados también tenían información muy personal como códigos postales, números de teléfono, direcciones y nombres completos de personas asociadas con los tokens UDID y APNS.
Ese tipo de información en manos de una persona calificada (empleado del gobierno, pirata informático o simplemente un ingeniero con un rencor contra usted) es algo que podría dañar a la mayoría de nosotros en términos de violar nuestra privacidad. Nada en esta versión parecería comprometer la seguridad de su uso del dispositivo, pero hace que las cosas que normalmente se verían como anónimas no lo sean tanto si el FBI lleva regularmente listas de millones de información de suscriptores que les permita vincular registros de uso de la aplicación a un dispositivo específico o una persona específica.
El caso más desfavorable con los datos filtrados hoy sería que alguien que ya se haya registrado con Apple para enviar notificaciones automáticas podría intentar enviar mensajes no solicitados al millón de dispositivos (suponiendo que los tokens APNS aún son válidos) o correlacionar un dispositivo. nombre con un UDID si tuvieron acceso a registros confidenciales o una base de datos de un desarrollador u otra entidad. Esta fuga no permite el acceso remoto de la forma en que lo haría conocer una contraseña y una ID de usuario.
Como observa bmike, UDID por sí mismo no es particularmente dañino. Sin embargo, si los atacantes pueden comprometer otras bases de datos en las que se usa UDID, la combinación podría generar un poco de información personal de identificación, como se explica en este artículo de mayo de 2012: Desanonizando los UDID de Apple con OpenFeint .
Al igual que con el reciente hack de Mat Honan , una infracción de seguridad por sí misma puede no ser demasiado problemática, pero el daño puede aumentar exponencialmente si los atacantes pueden violar otro servicio que usa.