Quali potenziali pericoli derivano da una perdita di massa UDID per iOS?

Qualcuno può illuminarci con ciò per cui un hacker potrebbe usare uno (o un elenco di) UDID?

La fuga segnalata dal 4 settembre su 1 milione di UDID di AntiSec mi fa preoccupare. Ma dovrei?

Qual è lo scenario peggiore con un hacker che ha un milione di UDID?

Ora che è emersa più "verità", questa fuga proveniva da una società di terze parti, Blue Toad e da tutti gli account affidabili , la perdita in realtà non conteneva né il volume di UDID né i dati personali aggiuntivi che avrebbero colpito chiunque come " riguardano." La perdita era di dati raccolti secondo la politica esistente di Apple e dell'app store e non è affatto unica in quanto centinaia di aziende avranno quel volume e quel tipo di dati a causa dell'utilizzo passato di UDID per identificare i clienti.

Lo stesso documento trapelato è per lo più innocuo dal punto di vista tecnico, ma piuttosto scioccante se ti aspettavi di essere privato e ora hai alcuni dettagli esposti pubblicamente.

Contiene una riga con i seguenti tipi di informazioni per ciascun dispositivo che si presume sia elencato:

UDID, token APNS, nome del dispositivo, tipo di dispositivo

A meno che tu non sia un programmatore ed esegua un servizio che potrebbe inviare un messaggio tramite il servizio di notifica push di Apple (APNS), non puoi davvero intraprendere alcuna azione in base al file trapelato.

Se si dispone di registrazioni di transazioni che elencano un UDID o un nome / tipo di dispositivo e si desidera confermare un'altra informazione, questo file potrebbe essere utilizzato per collegare due informazioni se si disponevano già di tali informazioni.

Le vere conseguenze della sicurezza sono che questa "perdita" proviene da un file di foglio di calcolo che presumibilmente contiene 12 milioni di voci, non il milione trapelato. La migliore informazione che abbiamo (se credi alle parole del testo di rilascio che ha una lieve volgarità se ti interessa quel genere di cose ) è che i dati reali che sono stati rubati avevano anche informazioni molto personali come codici postali, numeri di telefono, indirizzi e nomi completi delle persone associate ai token UDID e APNS.

Questo tipo di informazioni nelle mani di una persona qualificata (dipendente del governo, hacker o semplicemente un ingegnere con rancore nei tuoi confronti) è qualcosa che potrebbe danneggiare la maggior parte di noi in termini di violazione della nostra privacy. Nulla in questa versione sembrerebbe compromettere la sicurezza dell'utilizzo del dispositivo, ma rende le cose che normalmente verrebbero considerate meno anonime, quindi se l'FBI trasporta regolarmente elenchi di milioni di informazioni sugli abbonati che permetterebbero loro di legare i registri di uso dell'applicazione per un dispositivo specifico o una persona specifica.

L'evento peggiore con i dati trapelati oggi sarebbe qualcuno che si è già registrato con Apple per inviare notifiche push potrebbe forse tentare di inviare messaggi non richiesti al milione di dispositivi (supponendo che i token APNS siano ancora validi) o altrimenti correlare un nome di dispositivo con un UDID se avessero accesso a registri sensibili o a un database da uno sviluppatore o un'altra entità. Questa perdita non consente l'accesso remoto nel modo in cui conoscerebbe una password e un ID utente.

Come osserva Bmike, l'UDID da solo non è particolarmente dannoso. Tuttavia, se gli aggressori sono in grado di compromettere altri database in cui viene utilizzato UDID, la combinazione potrebbe produrre un bel po 'di identificazione delle informazioni personali, come emerge da questo articolo di maggio 2012: De-anonimizzare gli UDID Apple con OpenFeint .

Come con il recente e molto pubblicizzato hack Mat Honan , una violazione della sicurezza da sola potrebbe non essere eccessivamente problematica, ma il danno può aumentare esponenzialmente se gli aggressori possono violare un altro servizio che si utilizza.