¿Qué peligros potenciales surgen de una fuga masiva de UDID de iOS?

¿Alguien puede iluminarnos con lo que un hacker podría usar una (o una list de) UDID?

La filtración reportada el 4 de septiembre de 1 millón de UDID por AntiSec me preocupa. ¿Pero debería hacerlo?

  • Sonido de obturador aleatorio
  • Asegure la unidad de borrado en modo de usuario único
  • Cómo deshabilitar el arranque de un solo usuario (command S)
  • ¿Hay algo que podamos hacer en iOS para mantenernos seguros mientras esperamos que Apple emita una actualización para la última vulnerabilidad de FREAK SSL?
  • Aplicación de parches a la vulnerabilidad KRACK WPA2 en enrutadores inalámbricos del aeropuerto
  • ¿Es válido / no malware el post "Debe cambiar su contraseña en 60 minutos"?
  • ¿Cuál es el peor escenario posible con un hacker que tiene un millón de UDID?

  • ¿Cómo desasociar completamente iMessage de mi dispositivo?
  • Agregar aplicaciones a la configuration de "Seguridad y privacidad" (Automáticamente)
  • Mi computadora no tiene usuario administrador
  • Encriptando / protegiendo la unidad de copy de security de Time Machine?
  • Desactivar la visualización de letras en la contraseña (iOS)
  • ¿Por qué el gobierno turco está en mi computadora?
  • 2 Solutions collect form web for “¿Qué peligros potenciales surgen de una fuga masiva de UDID de iOS?”

    Ahora que ha salido más "verdad", esta fuga fue de una compañía de terceros, Blue Toad y de todas las counts acnetworkingitadas , la fuga en realidad no contenía ni el volumen de UDID ni los datos personales adicionales que afectarían a nadie como " sobre." La filtración fue de datos recostackdos de acuerdo con la política existente de Apple y la tienda de aplicaciones, y no es para nada única ya que cientos de empresas tendrán ese volumen y tipo de datos debido al uso anterior de UDID para identificar a los clientes.

    El documento filtrado en sí es inofensivo desde el punto de vista técnico, pero bastante impactante si esperaba ser privado y ahora tiene algunos detalles expuestos públicamente.

    Contiene una línea con los siguientes types de información para cada dispositivo que se pretende include en la list:

    UDID, APNS token, nombre del dispositivo, tipo de dispositivo

    A less que sea un progtwigdor y ejecute un service que podría enviar un post a través del service de notificación de inserción (APNS) de Apple, entonces no podrá realizar ninguna acción en base al file filtrado.

    Si tiene loggings de transactions que enumeran un UDID o un nombre / tipo de dispositivo y desea confirmar otra información, este file podría usarse para vincular dos elementos de información si ya tenía esa información.

    Las ramificaciones de security reales son que esta "fuga" proviene de un file de spreadsheet que supuestamente contiene 12 millones de inputs, no el millón que se filtró. La mejor información que tenemos (si cree en las palabras del text de lanzamiento que tiene una leve profanidad si le importa ese tipo de cosas ) es que los datos reales que fueron robados también tenían información muy personal como códigos postales, numbers de teléfono, direcciones y nombres completos de las personas asociadas con los tokens UDID y APNS.

    Ese tipo de información en manos de una persona capacitada (empleado del gobierno, pirata informático o simplemente un ingeniero con un resentimiento hacia usted) es algo que podría perjudicarnos a la mayoría de nosotros en términos de violar nuestra privacidad. Nada en este lanzamiento parece comprometer la security de su uso del dispositivo, pero hace que las cosas que normalmente serían less anónimas, si el FBI está llevando regularmente lists de millones de información de suscriptores que les permitirían vincular loggings de uso de la aplicación a un dispositivo específico o una persona específica.

    El peor caso con los datos filtrados hoy sería alguien que ya se ha registrado con Apple para enviar notifications push podría intentar enviar posts no solicitados a los millones de dispositivos (suponiendo que los tokens APNS siguen siendo válidos) o correlacionar el nombre de un dispositivo con un UDID si tenían acceso a loggings confidenciales o una database de un desarrollador u otra entidad. Esta filtración no permite el acceso remoto de la misma forma que conocer una contraseña y una identificación de usuario.

    Como dice bmike, UDID por sí solo no es particularmente dañino. Sin embargo, si los atacantes pueden poner en peligro otras bases de datos donde se usa UDID, la combinación podría arrojar bastante información personal identificatoria, ya que este artículo de mayo de 2012 establece: anonimizar los UDID de Apple con OpenFeint .

    Al igual que con el reciente y muy publicitado hack Mat Honan , una sola violación de security puede no ser demasiado problemática, pero el daño puede crecer exponencialmente si los atacantes pueden violar otro service que usas.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).