¿Alguien puede aclararnos con qué un pirata informático podría usar un (o una lista) de UDID?
La filtración informada el 4 de septiembre de 1 millón de UDID por AntiSec me preocupa. ¿Pero debería?
¿Cuál es el peor de los casos con un hacker que tiene un millón de UDID?
Respuestas:
Ahora que ha surgido más "verdad", esta filtración fue de una compañía de terceros, Blue Toad y, según todas las cuentas de buena reputación , la filtración de hecho no contenía ni el volumen de UDID ni los datos personales adicionales que afectarían a cualquiera como " sobre." La filtración se debió a los datos recopilados de acuerdo con la política existente por Apple y la tienda de aplicaciones y no es en absoluto única, ya que cientos de empresas tendrán ese volumen y tipo de datos debido al uso anterior de UDID para identificar a los clientes.
El documento filtrado en sí mismo es en su mayoría inofensivo desde un punto de vista técnico, pero bastante impactante si espera que sea privado y ahora tenga algunos detalles expuestos públicamente.
Contiene una línea con los siguientes tipos de información para cada dispositivo que se pretende enumerar:
UDID, token APNS, nombre del dispositivo, tipo de dispositivo
A menos que sea un programador y ejecute un servicio que podría enviar un mensaje a través del servicio de notificación de inserción (APNS) de Apple, entonces no puede tomar ninguna medida basada en el archivo filtrado.
Si tiene registros de transacciones que enumeran un UDID o un nombre / tipo de dispositivo y desea confirmar otra información, este archivo podría usarse para vincular dos datos si ya tenía esa información.
Las ramificaciones de seguridad reales son que esta "fuga" proviene de un archivo de hoja de cálculo que supuestamente contiene 12 millones de entradas, no el millón que se filtró. La mejor información que tenemos (si cree en las palabras del texto de la versión que tiene algunas malas palabras si le importa ese tipo de cosas ) es que los datos reales que fueron robados también tenían información muy personal como códigos postales, números de teléfono, direcciones y nombres completos de personas asociadas con los tokens UDID y APNS.
Ese tipo de información en manos de una persona experta (empleado del gobierno, pirata informático o simplemente un ingeniero con rencor contra usted) es algo que podría dañarnos a la mayoría de nosotros en términos de violar nuestra privacidad. Nada en esta versión parecería comprometer la seguridad de su uso del dispositivo, pero hace que las cosas que normalmente se considerarían menos anónimas, si el FBI lleva regularmente listas de millones de información de suscriptores que les permitiría vincular registros de uso de la aplicación a un dispositivo específico o una persona específica.
El peor de los casos con los datos filtrados hoy sería alguien que ya se haya registrado en Apple para enviar notificaciones automáticas, tal vez podría intentar enviar mensajes no solicitados a un millón de dispositivos (suponiendo que los tokens APNS sigan siendo válidos) o correlacionar el nombre de un dispositivo con UDID si tenían acceso a registros confidenciales o una base de datos de un desarrollador u otra entidad. Esta fuga no permite el acceso remoto de la forma en que lo haría conocer una contraseña y una ID de usuario.
fuente
Como señala bmike, UDID por sí solo no es particularmente dañino. Sin embargo, si los atacantes pueden comprometer otras bases de datos donde se usa UDID, la combinación podría generar bastante información de identificación personal, como se describe en este artículo de mayo de 2012: Desanonimizar los UDID de Apple con OpenFeint .
Al igual que con el reciente hack de Mat Honan , muy publicitado , una violación de seguridad por sí sola puede no ser demasiado problemática, pero el daño puede crecer exponencialmente si los atacantes pueden violar otro servicio que usted usa.
fuente