Quais perigos potenciais surgem de um vazamento em massa do UDID do iOS?

19

Alguém pode nos esclarecer com o que um hacker poderia usar um (ou uma lista de) UDID?

O vazamento relatado em 4 de setembro de 1 milhão de UDIDs pela AntiSec me preocupa. Mas devo?

Qual é o pior cenário possível para um hacker com um milhão de UDIDs?

security udid apns Ethan Lee
fonte
1
Como não somos um site de programação - responderei isso para o público aqui - usuários de produtos da Apple. Talvez você recebesse uma resposta diferente se perguntasse como explorar os tokens APNS ( que aparentemente podem expirar e agora estão sendo randomizados por aplicativo pela Apple ) em um site mais centralizado em programação.
bmike

Respostas:

18

Agora que mais "verdade" foi revelada, esse vazamento foi de uma empresa terceirizada, a Blue Toad e, segundo todas as contas respeitáveis , o vazamento na verdade não continha o volume de UDID ou os dados pessoais adicionais que chamariam a atenção de " relativo." O vazamento foi de dados coletados de acordo com a política existente pela Apple e pela loja de aplicativos e não é de todo exclusivo, já que centenas de empresas terão esse volume e tipo de dados devido ao uso passado do UDID para identificar clientes.

O documento vazado em si é praticamente inofensivo do ponto de vista técnico, mas bastante chocante se você espera ser privado e agora tem alguns detalhes expostos publicamente.

Ele contém uma linha com os seguintes tipos de informações para cada dispositivo que deve ser listado:

UDID, token APNS, nome do dispositivo, tipo de dispositivo

A menos que você seja um programador e execute um serviço que possa enviar uma mensagem através do serviço de notificação por push (APNS) da Apple, não será possível executar nenhuma ação com base no arquivo vazado.

Se você possui registros de transações que listam um UDID ou nome / tipo de dispositivo e deseja confirmar outra informação, esse arquivo pode ser usado para vincular duas informações, se você já tiver essas informações.

As verdadeiras ramificações de segurança são que esse "vazamento" é de um arquivo de planilha que supostamente contém 12 milhões de entradas - não o milhão que vazou. A melhor informação que temos (se você acredita nas palavras do texto da versão que tem alguma linguagem obscena se você se importa com esse tipo de coisa ) é que os dados reais que foram roubados também tinham informações muito pessoais, como códigos postais, números de telefone, endereços e nomes completos de pessoas associadas aos tokens UDID e APNS.

Esse tipo de informação está nas mãos de uma pessoa qualificada (funcionário do governo, hacker ou simplesmente um engenheiro com rancor contra você) é algo que pode causar danos à maioria de nós em termos de violação de nossa privacidade. Nada neste lançamento parece comprometer a segurança de você usar o dispositivo - mas torna menos comuns as coisas que seriam vistas como anônimas, se o FBI carregasse regularmente listas de milhões de informações de assinantes que permitiriam vincular registros de uso do aplicativo para um dispositivo específico ou uma pessoa específica.

O pior caso com os dados divulgados hoje seria alguém que já se registrou na Apple para enviar notificações por push, talvez tente enviar mensagens não solicitadas aos milhões de dispositivos (supondo que os tokens APNS ainda sejam válidos) ou correlacionar um nome de dispositivo a um UDID se eles tivessem acesso a logs confidenciais ou a um banco de dados de um desenvolvedor ou outra entidade. Esse vazamento não permite acesso remoto da maneira que o conhecimento de uma senha e um ID de usuário permitiria.

bmike
fonte
1
Se a Apple vale a pena, os tokens APNS serão revogados o mais rápido possível. No entanto, eu não vou ter muitas esperanças, elas não responderam muito às coisas de segurança no passado.
Jrg 04/09/12
2
Pessoalmente, conversarei com meus congressistas para entender se, de fato, o FBI não está apenas carregando 12 milhões de tokens UDID / APNS / sortiu outros dados pessoais não criptografados em um computador portátil, mas, pior ainda, conseguiram roubá-los.
bmike
2
Os tokens do APNS são inúteis para quem não possui todo o certificado digital do APNS criado pelo desenvolvedor do aplicativo. Não é possível enviar notificações para um aplicativo sem o certificado desse aplicativo. Não há necessidade de revogar os tokens. De fato, a Apple provavelmente não pode sem colocar novos bits no telefone.
# 0
@bmike obrigado por sua resposta detalhada. Se de fato o FBI estava carregando 12 milhões de UDIDs, o que eles poderiam fazer com eles e ir até o ponto de rastrear a localização e / ou o uso de nossos iPhones?
Ethan Lee
1
Aguarde, por favor! Mais sofisticação necessária, tudo o que sabemos é que alguém recebeu UDIDs e disse que o FBI os roubou. Plausível, certamente. Tão plausível que tomaríamos a palavra de NINGUÉM sobre o FBI, e talvez seja por isso que quem os levou jogou o FBI debaixo do ônibus! Vamos esperar para ouvir mais antes de se envolver no recurso inútil para os representantes eleitos ...
chiggsy
7

Como observa o bmike, o UDID por si só não é particularmente prejudicial. No entanto, se os invasores puderem comprometer outros bancos de dados nos quais o UDID é usado, a combinação poderá render um pouco de informações pessoais de identificação, como mostra este artigo de maio de 2012: Des-anonimizando os UDIDs da Apple com o OpenFeint .

Como no recente hack de Mat Honan , altamente divulgado , uma violação de segurança por si só pode não ser muito problemática, mas o dano pode crescer exponencialmente se os invasores violarem outro serviço que você usa.

robmathers
fonte
4
É verdade sobre a capacidade de usar essas informações para fazer referência cruzada com outros bancos de dados. Isso é muito mais assustador com a possibilidade de endereço, nome e números de telefone serem vinculados no arquivo de 12 milhões de registros.
bmike