Jakie potencjalne niebezpieczeństwa wynikają z masowego wycieku UDID z iOS?

19

Czy ktoś może oświecić nas, do czego haker mógłby użyć jednego (lub listy) UDID?

Wyciek zgłoszony 4 września z 1 miliona UDID przez AntiSec mnie martwi. Ale powinienem?

Jaki jest najgorszy scenariusz z hakerem, który ma milion UDID?

security udid apns Ethan Lee
źródło
1
Ponieważ nie jesteśmy witryną programistyczną - odpowiem na to pytanie dla odbiorców - użytkowników produktów Apple. Być może otrzymasz inną odpowiedź, jeśli zapytasz, jak wykorzystać tokeny APNS ( które najwyraźniej mogą wygasnąć i są teraz losowo przydzielane do aplikacji przez Apple ) w witrynie bardziej programistycznej.
bmike

Odpowiedzi:

18

Teraz, gdy pojawiło się więcej „prawdy”, wyciek ten pochodzi od firmy trzeciej, Blue Toad i według wszystkich renomowanych kont , wyciek w rzeczywistości nie zawierał ani wolumenu UDID, ani dodatkowych danych osobowych, które można by uznać za „ o." Wyciek dotyczył danych zebranych zgodnie z obowiązującymi zasadami przez Apple i sklep z aplikacjami i nie jest wcale wyjątkowy, ponieważ setki firm będą miały taką ilość i rodzaj danych z powodu wcześniejszego użycia UDID do identyfikacji klientów.

Sam wyciek dokumentu jest w większości nieszkodliwy z technicznego punktu widzenia, ale dość szokujący, jeśli spodziewałeś się, że będziesz prywatny, a niektóre szczegóły ujawnisz publicznie.

Zawiera jeden wiersz z następującymi rodzajami informacji dla każdego urządzenia, które ma znajdować się na liście:

UDID, token APNS, nazwa urządzenia, typ urządzenia

O ile nie jesteś programistą i nie uruchomisz usługi, która może przekazywać wiadomości za pośrednictwem usługi powiadomień wypychanych Apple (APNS), nie możesz naprawdę podjąć żadnych działań w oparciu o wyciekły plik.

Jeśli masz zapisy transakcji zawierające UDID lub nazwę / typ urządzenia i chciałeś potwierdzić inną informację, ten plik może być użyty do połączenia dwóch informacji, jeśli już je posiadałeś.

Prawdziwymi konsekwencjami bezpieczeństwa jest to, że ten „wyciek” pochodzi z pliku arkusza kalkulacyjnego, który podobno zawiera 12 milionów wpisów - a nie miliona, które wyciekły. Najlepszą dostępną informacją (jeśli wierzysz w słowa wydania, które mają nieco wulgaryzmy, jeśli zależy ci na tego rodzaju rzeczach ), że skradzione dane miały również bardzo osobiste informacje, takie jak kody pocztowe, numery telefonów, adresy oraz pełne nazwiska osób powiązanych z tokenami UDID i APNS.

Tego rodzaju informacje w rękach wykwalifikowanej osoby (pracownika rządowego, hakera lub po prostu inżyniera z pretensją do ciebie) to coś, co może wyrządzić szkodę większości z nas pod względem naruszenia naszej prywatności. Nic w tej wersji nie wydaje się zagrażać bezpieczeństwu korzystania z urządzenia - ale sprawia, że ​​rzeczy, które normalnie byłyby postrzegane jako mniej anonimowe, więc jeśli FBI regularnie przenosi listy milionów informacji o subskrybentach, które pozwolą im powiązać dzienniki wykorzystanie aplikacji na określonym urządzeniu lub określonej osobie.

Najgorszym przypadkiem, w którym dziś wyciekłyby dane, byłby ktoś, kto już zarejestrował się w Apple, aby wysyłać powiadomienia wypychane, może być może spróbować wysłać niezamówione wiadomości do miliona urządzeń (zakładając, że tokeny APNS są nadal ważne) lub w inny sposób skorelować nazwę urządzenia z UDID, jeśli mieli dostęp do poufnych dzienników lub bazy danych od programisty lub innego podmiotu. Ten wyciek nie pozwala na zdalny dostęp w sposób podobny do znajomości hasła i identyfikatora użytkownika.

bmike
źródło
1
Jeśli Apple jest warte swojej soli, tokeny APNS zostaną cofnięte jak najszybciej. Jednak nie będę miał nadziei, że w przeszłości nie reagowali zbyt dobrze na kwestie bezpieczeństwa.
jrg
2
Osobiście zamierzam rozmawiać z moimi kongresmenami, aby dowiedzieć się, czy w rzeczywistości FBI nie tylko nosi około 12 milionów tokenów UDID / APNS / innych innych danych osobowych niezaszyfrowanych na komputerze przenośnym, ale co gorsza, udało się je ukraść.
bmike
2
Tokeny APNS są bezwartościowe dla każdego, kto nie ma całego certyfikatu cyfrowego APNS utworzonego przez twórcę aplikacji. Nie można wysyłać powiadomień do aplikacji bez certyfikatu tej aplikacji. Nie ma potrzeby odwoływania tokenów. W rzeczywistości Apple prawdopodobnie nie może obejść się bez wprowadzania nowych bitów do telefonu.
ohmi
@bike dziękuję za szczegółową odpowiedź. Jeśli rzeczywiście FBI miało ponad 12 milionów identyfikatorów UDID, co mogliby z nimi zrobić i czy mogliby posunąć się do śledzenia lokalizacji i / lub użytkowania naszych iPhone'ów?
Ethan Lee,
1
Poczekaj proszę! Potrzebne jest więcej wyrafinowania, wiemy tylko, że ktoś dostał UDID i powiedział, że FBI je ukradło. Z pewnością prawdopodobne. Tak prawdopodobne, że uwierzemy FBI w słowo, a być może dlatego ktokolwiek je wziął rzucił FBI pod autobus! Poczekajmy, aby usłyszeć więcej, zanim
zaangażujemy
7

Jak zauważa bmike, sam UDID nie jest szczególnie szkodliwy. Jeśli jednak osoby atakujące będą w stanie narazić na szwank inne bazy danych, w których używany jest UDID, kombinacja może przynieść sporo identyfikacji danych osobowych, jak to opisano w tym artykule z maja 2012 r .: Dezonimizacja identyfikatorów UDID firmy Apple za pomocą OpenFeint .

Podobnie jak w przypadku niedawno opublikowanego hackowania Mat Honan , samo złamanie zabezpieczeń może nie być zbyt kłopotliwe, ale szkody mogą wzrosnąć wykładniczo, jeśli atakujący mogą naruszyć inną usługę, z której korzystasz.

robmathers
źródło
4
Bardzo prawdziwe o możliwości wykorzystania tych informacji do odniesienia się do innych baz danych. Jest to o wiele bardziej przerażające, z możliwością powiązania adresu, nazwiska i numerów telefonów w 12 milionowym pliku rekordu.
bmike