¿Qué peligros potenciales surgen de una fuga masiva de UDID de iOS?

19

¿Alguien puede aclararnos con qué un pirata informático podría usar un (o una lista) de UDID?

La filtración informada el 4 de septiembre de 1 millón de UDID por AntiSec me preocupa. ¿Pero debería?

¿Cuál es el peor de los casos con un hacker que tiene un millón de UDID?

Ethan Lee
fuente
1
Como no somos un sitio de programación, responderé esto para la audiencia aquí: usuarios de productos Apple. Quizás recibiría una respuesta diferente si preguntara cómo explotar los tokens APNS ( que aparentemente pueden caducar y ahora Apple los está aleatorizando por aplicación ) en un sitio más centrado en la programación.
bmike

Respuestas:

18

Ahora que ha surgido más "verdad", esta filtración fue de una compañía de terceros, Blue Toad y, según todas las cuentas de buena reputación , la filtración de hecho no contenía ni el volumen de UDID ni los datos personales adicionales que afectarían a cualquiera como " sobre." La filtración se debió a los datos recopilados de acuerdo con la política existente por Apple y la tienda de aplicaciones y no es en absoluto única, ya que cientos de empresas tendrán ese volumen y tipo de datos debido al uso anterior de UDID para identificar a los clientes.

El documento filtrado en sí mismo es en su mayoría inofensivo desde un punto de vista técnico, pero bastante impactante si espera que sea privado y ahora tenga algunos detalles expuestos públicamente.

Contiene una línea con los siguientes tipos de información para cada dispositivo que se pretende enumerar:

UDID, token APNS, nombre del dispositivo, tipo de dispositivo

A menos que sea un programador y ejecute un servicio que podría enviar un mensaje a través del servicio de notificación de inserción (APNS) de Apple, entonces no puede tomar ninguna medida basada en el archivo filtrado.

Si tiene registros de transacciones que enumeran un UDID o un nombre / tipo de dispositivo y desea confirmar otra información, este archivo podría usarse para vincular dos datos si ya tenía esa información.

Las ramificaciones de seguridad reales son que esta "fuga" proviene de un archivo de hoja de cálculo que supuestamente contiene 12 millones de entradas, no el millón que se filtró. La mejor información que tenemos (si cree en las palabras del texto de la versión que tiene algunas malas palabras si le importa ese tipo de cosas ) es que los datos reales que fueron robados también tenían información muy personal como códigos postales, números de teléfono, direcciones y nombres completos de personas asociadas con los tokens UDID y APNS.

Ese tipo de información en manos de una persona experta (empleado del gobierno, pirata informático o simplemente un ingeniero con rencor contra usted) es algo que podría dañarnos a la mayoría de nosotros en términos de violar nuestra privacidad. Nada en esta versión parecería comprometer la seguridad de su uso del dispositivo, pero hace que las cosas que normalmente se considerarían menos anónimas, si el FBI lleva regularmente listas de millones de información de suscriptores que les permitiría vincular registros de uso de la aplicación a un dispositivo específico o una persona específica.

El peor de los casos con los datos filtrados hoy sería alguien que ya se haya registrado en Apple para enviar notificaciones automáticas, tal vez podría intentar enviar mensajes no solicitados a un millón de dispositivos (suponiendo que los tokens APNS sigan siendo válidos) o correlacionar el nombre de un dispositivo con UDID si tenían acceso a registros confidenciales o una base de datos de un desarrollador u otra entidad. Esta fuga no permite el acceso remoto de la forma en que lo haría conocer una contraseña y una ID de usuario.

bmike
fuente
1
Si Apple vale la pena, los tokens APNS se revocarán lo antes posible. Sin embargo, no voy a hacerme ilusiones, no han respondido mucho a las cosas de seguridad en el pasado.
jrg
2
Personalmente voy a hablar con mis congresistas para entender si, de hecho, el FBI no solo transporta alrededor de 12 millones de tokens UDID / APNS / una variedad de otros datos personales sin cifrar en una computadora portátil, sino que peor aún, logró robarlos.
bmike
2
Los tokens APNS no tienen valor para cualquiera que no tenga el certificado digital APNS completo creado por el desarrollador de la aplicación. No es posible enviar notificaciones a una aplicación sin el certificado de esa aplicación. No hay necesidad de revocar los tokens. De hecho, Apple probablemente no puede sin poner nuevos bits en el teléfono.
ohmi
@bmike gracias por tu respuesta detallada. Si, de hecho, el FBI transportaba más de 12 millones de UDID, ¿qué podrían hacer con ellos y podrían ir tan lejos como para rastrear la ubicación y / o uso de nuestros iPhones?
Ethan Lee
1
¡Aguarde por favor! Se necesita más sofisticación, todo lo que sabemos es que alguien obtuvo UDID y dijo que el FBI los robó. Plausible, ciertamente. Tan plausible que tomaríamos la palabra de NADIE sobre los del FBI, ¡lo cual quizás podría ser la razón por la que quien los tomó arrojó al FBI debajo del autobús! Vamos a esperar a escuchar más antes de participar en el recurso inútil a los representantes elegidos ...
chiggsy
7

Como señala bmike, UDID por sí solo no es particularmente dañino. Sin embargo, si los atacantes pueden comprometer otras bases de datos donde se usa UDID, la combinación podría generar bastante información de identificación personal, como se describe en este artículo de mayo de 2012: Desanonimizar los UDID de Apple con OpenFeint .

Al igual que con el reciente hack de Mat Honan , muy publicitado , una violación de seguridad por sí sola puede no ser demasiado problemática, pero el daño puede crecer exponencialmente si los atacantes pueden violar otro servicio que usted usa.

ladrones
fuente
44
Muy cierto acerca de la capacidad de utilizar esta información para hacer referencias cruzadas con otras bases de datos. Esto es mucho más aterrador con la posibilidad de que la dirección, el nombre y los números de teléfono estén vinculados en el archivo de registro de 12 millones.
bmike