Quelqu'un peut-il nous éclairer sur ce qu'un pirate informatique pourrait utiliser pour un (ou une liste de) UDID?
La fuite signalée le 4 septembre sur 1 million d'UDID par AntiSec me fait peur. Mais devrais-je?
Quel est le pire scénario avec un pirate qui a un million d'UDID?
Réponses:
Maintenant que plus de "vérité" est apparue, cette fuite provenait d' une société tierce, Blue Toad et selon tous les comptes réputés , la fuite ne contenait en fait ni le volume d'UDID ni les données personnelles supplémentaires qui frapperaient quiconque " concernant." La fuite concernait des données collectées conformément à la politique existante d'Apple et de l'App Store et n'est pas du tout unique, car des centaines d'entreprises auront ce volume et ce type de données en raison de l'utilisation passée de l'UDID pour identifier les clients.
Le document divulgué lui-même est en grande partie inoffensif d'un point de vue technique, mais assez choquant si vous vous attendiez à être privé et à avoir maintenant certains détails exposés publiquement.
Il contient une ligne avec les types d'informations suivants pour chaque périphérique censé être répertorié:
UDID, jeton APNS, nom de l'appareil, type d'appareil
À moins que vous ne soyez un programmeur et que vous exécutiez un service qui pourrait envoyer un message via le service de notification push d'Apple (APNS), vous ne pouvez pas vraiment prendre aucune mesure en fonction du fichier divulgué.
Si vous avez des enregistrements de transactions qui répertorient un UDID ou un nom / type d'appareil et que vous vouliez confirmer une autre information, ce fichier pourrait être utilisé pour lier deux informations ensemble si vous aviez déjà cette information.
Les vraies ramifications de sécurité sont que cette "fuite" provient d'un fichier de feuille de calcul qui contient soi-disant 12 millions d'entrées - pas le million qui a été divulgué. La meilleure information que nous ayons (si vous croyez que les mots du texte de sortie ont un peu de blasphème si vous vous souciez de ce genre de chose ) est que les vraies données qui ont été volées avaient également des informations très personnelles comme les codes postaux, les numéros de téléphone, les adresses et les noms complets des personnes associées aux jetons UDID et APNS.
Ce genre d'informations entre les mains d'une personne qualifiée (employé du gouvernement, pirate informatique ou tout simplement un ingénieur qui vous en veut) pourrait nuire à la plupart d'entre nous en ce qui concerne la violation de notre vie privée. Rien dans cette version ne semble compromettre la sécurité de votre utilisation de l'appareil - mais cela rend les choses qui seraient normalement considérées comme anonymes moins si le FBI transporte régulièrement des listes de millions d'informations sur les abonnés qui leur permettraient de lier les journaux de utilisation de l'application à un appareil spécifique ou à une personne spécifique.
Le pire événement avec les données divulguées aujourd'hui serait qu'une personne qui s'est déjà inscrite auprès d'Apple pour envoyer des notifications push pourrait peut-être tenter d'envoyer des messages non sollicités au million d'appareils (en supposant que les jetons APNS sont toujours valides) ou corréler autrement un nom d'appareil avec un UDID s'ils avaient accès à des journaux sensibles ou à une base de données d'un développeur ou d'une autre entité. Cette fuite ne permet pas l'accès à distance comme le ferait la connaissance d'un mot de passe et d'un ID utilisateur.
la source
Comme le note bmike, l'UDID en soi n'est pas particulièrement dommageable. Cependant, si les attaquants sont en mesure de compromettre d'autres bases de données où l'UDID est utilisé, la combinaison pourrait fournir un peu d'identification personnelle, comme le dit cet article de mai 2012: anonymisation des UDID Apple avec OpenFeint .
Comme avec le récent piratage très médiatisé de Mat Honan , une seule violation de sécurité ne peut pas être trop gênante, mais les dommages peuvent devenir exponentiels si les attaquants peuvent violer un autre service que vous utilisez.
la source