Kann uns jemand erklären, wofür ein Hacker eine (oder eine Liste von) UDID verwenden könnte?
Das am 4. September gemeldete Leck von 1 Million UDIDs durch AntiSec macht mir Sorgen. Aber soll ich?
Was ist der schlimmste Fall bei einem Hacker mit einer Million UDIDs?
Antworten:
Nun, da mehr "Wahrheit" herausgekommen ist, stammte dieses Leck von einer Drittfirma , Blue Toad, und nach allen seriösen Angaben enthielt das Leck weder das UDID-Volumen noch die zusätzlichen personenbezogenen Daten, die für jemanden von Bedeutung wären. über." Das Leck bestand aus Daten, die gemäß den bestehenden Richtlinien von Apple und dem App Store gesammelt wurden, und ist keineswegs eindeutig, da Hunderte von Unternehmen aufgrund der früheren Verwendung von UDID zur Identifizierung von Kunden über dieses Datenvolumen und diesen Datentyp verfügen.
Das durchgesickerte Dokument selbst ist vom technischen Standpunkt aus meist harmlos, aber ziemlich schockierend, wenn Sie damit rechnen, privat zu sein und jetzt einige Details öffentlich zugänglich zu machen.
Es enthält eine Zeile mit den folgenden Informationstypen für jedes Gerät, von dem behauptet wird, dass es aufgelistet wird:
UDID, APNS-Token, Gerätename, Gerätetyp
Wenn Sie kein Programmierer sind und einen Dienst ausführen, der eine Nachricht über den Push-Benachrichtigungsdienst (APNS) von Apple senden kann, können Sie auf der Grundlage der durchgesickerten Datei keinerlei Maßnahmen ergreifen.
Wenn Sie über Aufzeichnungen von Transaktionen verfügen, die eine UDID oder einen Gerätenamen / -typ auflisten und eine andere Information bestätigen möchten, können Sie mit dieser Datei zwei Informationsteile miteinander verknüpfen, wenn Sie diese Information bereits hatten.
Die wirklichen Auswirkungen auf die Sicherheit sind, dass dieses "Leck" aus einer Kalkulationstabellendatei stammt, die angeblich 12 Millionen Einträge enthält - nicht die Millionen, die durchgesickert sind. Die beste Information, die wir haben (wenn Sie den Worten des Veröffentlichungstextes glauben, die ein wenig profan sind, wenn Sie sich für so etwas interessieren ), ist, dass die gestohlenen realen Daten auch sehr persönliche Informationen wie Postleitzahlen, Telefonnummern, Adressen enthielten und vollständige Namen der Personen, die mit den UDID- und APNS-Token in Verbindung stehen.
Diese Art von Informationen in den Händen eines Fachmanns (Regierungsangestellter, Hacker oder einfach ein Ingenieur mit Groll gegen Sie) kann den meisten von uns Schaden zufügen, da sie unsere Privatsphäre verletzen. Nichts in dieser Version scheint die Sicherheit Ihrer Nutzung des Geräts zu gefährden - aber es führt dazu, dass Dinge, die normalerweise als anonym eingestuft werden, weniger angezeigt werden Anwendungsnutzung für ein bestimmtes Gerät oder eine bestimmte Person.
Der schlimmste Fall, bei dem die Daten heute durchgesickert sind, ist, dass jemand, der sich bereits für das Senden von Push-Benachrichtigungen bei Apple registriert hat, möglicherweise versucht, unerwünschte Nachrichten an die Millionen Geräte zu senden (vorausgesetzt, die APNS-Token sind noch gültig) oder auf andere Weise einen Gerätenamen mit einem korreliert UDID, wenn sie von einem Entwickler oder einer anderen Entität Zugriff auf vertrauliche Protokolle oder eine Datenbank hatten. Dieses Leck ermöglicht keinen Fernzugriff, wie dies bei der Kenntnis eines Kennworts und einer Benutzer-ID der Fall wäre.
quelle
Wie bmike feststellt, ist UDID alleine nicht besonders schädlich. Wenn die Angreifer jedoch in der Lage sind, andere Datenbanken, in denen UDID verwendet wird, zu kompromittieren, kann die Kombination eine Menge identifizierender persönlicher Informationen liefern, wie in diesem Artikel vom Mai 2012 dargelegt wird: Desanonymisierung von Apple UDIDs mit OpenFeint .
Wie beim kürzlich veröffentlichten Hack von Mat Honan ist eine Sicherheitsverletzung für sich allein möglicherweise nicht besonders problematisch, aber der Schaden kann exponentiell zunehmen, wenn die Angreifer einen anderen von Ihnen verwendeten Dienst verletzen.
quelle