Quels dangers potentiels découlent d'une fuite massive d'UDID iOS?

19

Quelqu'un peut-il nous éclairer sur ce qu'un pirate informatique pourrait utiliser pour un (ou une liste de) UDID?

La fuite signalée le 4 septembre sur 1 million d'UDID par AntiSec me fait peur. Mais devrais-je?

Quel est le pire scénario avec un pirate qui a un million d'UDID?

security udid apns Ethan Lee
la source
1
Puisque nous ne sommes pas un site de programmation - je répondrai à cela pour le public ici - les utilisateurs des produits Apple. Vous obtiendriez peut-être une réponse différente si vous demandiez comment exploiter les jetons APNS ( qui apparemment peuvent expirer et sont maintenant randomisés par application par Apple ) sur un site plus centré sur la programmation.
bmike

Réponses:

18

Maintenant que plus de "vérité" est apparue, cette fuite provenait d' une société tierce, Blue Toad et selon tous les comptes réputés , la fuite ne contenait en fait ni le volume d'UDID ni les données personnelles supplémentaires qui frapperaient quiconque " concernant." La fuite concernait des données collectées conformément à la politique existante d'Apple et de l'App Store et n'est pas du tout unique, car des centaines d'entreprises auront ce volume et ce type de données en raison de l'utilisation passée de l'UDID pour identifier les clients.

Le document divulgué lui-même est en grande partie inoffensif d'un point de vue technique, mais assez choquant si vous vous attendiez à être privé et à avoir maintenant certains détails exposés publiquement.

Il contient une ligne avec les types d'informations suivants pour chaque périphérique censé être répertorié:

UDID, jeton APNS, nom de l'appareil, type d'appareil

À moins que vous ne soyez un programmeur et que vous exécutiez un service qui pourrait envoyer un message via le service de notification push d'Apple (APNS), vous ne pouvez pas vraiment prendre aucune mesure en fonction du fichier divulgué.

Si vous avez des enregistrements de transactions qui répertorient un UDID ou un nom / type d'appareil et que vous vouliez confirmer une autre information, ce fichier pourrait être utilisé pour lier deux informations ensemble si vous aviez déjà cette information.

Les vraies ramifications de sécurité sont que cette "fuite" provient d'un fichier de feuille de calcul qui contient soi-disant 12 millions d'entrées - pas le million qui a été divulgué. La meilleure information que nous ayons (si vous croyez que les mots du texte de sortie ont un peu de blasphème si vous vous souciez de ce genre de chose ) est que les vraies données qui ont été volées avaient également des informations très personnelles comme les codes postaux, les numéros de téléphone, les adresses et les noms complets des personnes associées aux jetons UDID et APNS.

Ce genre d'informations entre les mains d'une personne qualifiée (employé du gouvernement, pirate informatique ou tout simplement un ingénieur qui vous en veut) pourrait nuire à la plupart d'entre nous en ce qui concerne la violation de notre vie privée. Rien dans cette version ne semble compromettre la sécurité de votre utilisation de l'appareil - mais cela rend les choses qui seraient normalement considérées comme anonymes moins si le FBI transporte régulièrement des listes de millions d'informations sur les abonnés qui leur permettraient de lier les journaux de utilisation de l'application à un appareil spécifique ou à une personne spécifique.

Le pire événement avec les données divulguées aujourd'hui serait qu'une personne qui s'est déjà inscrite auprès d'Apple pour envoyer des notifications push pourrait peut-être tenter d'envoyer des messages non sollicités au million d'appareils (en supposant que les jetons APNS sont toujours valides) ou corréler autrement un nom d'appareil avec un UDID s'ils avaient accès à des journaux sensibles ou à une base de données d'un développeur ou d'une autre entité. Cette fuite ne permet pas l'accès à distance comme le ferait la connaissance d'un mot de passe et d'un ID utilisateur.

bmike
la source
1
Si Apple vaut son sel, les jetons APNS seront révoqués dès que possible. Cependant, je n'obtiendrai pas mes espoirs, ils n'ont pas été très sensibles aux problèmes de sécurité dans le passé.
jrg
2
Je vais personnellement m'entretenir avec mes congressistes pour comprendre si en fait le FBI transporte non seulement environ 12 millions de jetons UDID / APNS / assortiment d'autres données personnelles non cryptées sur un ordinateur portable, mais pire encore, a réussi à le faire voler.
bmike
2
Les jetons APNS ne valent rien pour quiconque ne possède pas l'intégralité du certificat numérique APNS créé par le développeur de l'application. Il n'est pas possible d'envoyer des notifications à une application sans le certificat de cette application. Il n'est pas nécessaire de révoquer les jetons. En fait, Apple ne peut probablement pas le faire sans mettre de nouveaux morceaux sur le téléphone.
ohmi
@bmike merci pour votre réponse détaillée. Si en effet le FBI transportait plus de 12 millions d'UDID, que pourraient-ils en faire et pourraient-ils aller jusqu'à suivre l'emplacement et / ou l'utilisation de nos iPhones?
Ethan Lee
1
Attendez s'il vous plaît! Plus de sophistication est nécessaire, tout ce que nous savons, c'est que quelqu'un a obtenu des UDID et a dit que le FBI les avait volés. Plausible, certainement. Tellement plausible que nous prendrions la parole de QUI QUE CE SOIT sur les FBI, ce qui pourrait peut-être être la raison pour laquelle quiconque les a jetés le FBI sous le bus! Attendons d'en savoir plus avant de lancer l'appel inutile aux élus ...
chiggsy
7

Comme le note bmike, l'UDID en soi n'est pas particulièrement dommageable. Cependant, si les attaquants sont en mesure de compromettre d'autres bases de données où l'UDID est utilisé, la combinaison pourrait fournir un peu d'identification personnelle, comme le dit cet article de mai 2012: anonymisation des UDID Apple avec OpenFeint .

Comme avec le récent piratage très médiatisé de Mat Honan , une seule violation de sécurité ne peut pas être trop gênante, mais les dommages peuvent devenir exponentiels si les attaquants peuvent violer un autre service que vous utilisez.

robmathers
la source
4
Très vrai sur la possibilité d'utiliser ces informations pour faire des références croisées avec d'autres bases de données. C'est beaucoup plus effrayant avec la possibilité que l'adresse, le nom et les numéros de téléphone soient liés dans le fichier d'enregistrement de 12 millions.
bmike