ハッカーが1つの(またはそのリストの)UDIDを使用できるもので、誰もが私たちを啓発できますか?
AntiSecによる100万件のUDIDのうち9月4日のリークは、私を心配させます。しかし、私はすべきですか?
100万個のUDIDを持つハッカーの最悪のシナリオは何ですか?
回答:
より多くの「真実」が明らかになったため、このリークはサードパーティの会社であるBlue Toadからのものであり、すべての 評判の良い アカウントによって、実際にはUDIDのボリュームや、について。」リークは、Appleとアプリストアによって既存のポリシーに従って収集されたデータであり、何百もの企業が過去に顧客を識別するためにUDIDを使用したためにその量と種類のデータを持っているため、まったくユニークではありません。
リークされたドキュメント自体は、技術的な観点からはほとんど無害ですが、プライベートになり、一部の詳細が公開されると予想される場合は非常に衝撃的です。
リストされているとされる各デバイスについて、次のタイプの情報を含む1行が含まれています。
UDID、APNSトークン、デバイス名、デバイスタイプ
プログラマーであり、Appleのプッシュ通知サービス(APNS)を介してメッセージをプッシュできるサービスを実行しない限り、リークしたファイルに基づいて実際にアクションを実行することはできません。
UDIDまたはデバイス名/タイプをリストするトランザクションのレコードがあり、別の情報を確認したい場合、このファイルを使用して、すでにその情報があれば2つの情報をリンクできます。
本当のセキュリティ上の影響は、この「リーク」は、リークした数百万個ではなく、おそらく1200万個のエントリを含むスプレッドシートファイルに由来することです。私たちが持っている最高の情報(あなたがそのようなことを気にするなら、軽度の冒fanを持っているリリーステキストの言葉 を信じているなら)は、盗まれた実際のデータも郵便番号、電話番号、住所のような非常に個人的な情報を持っていたことですおよびUDIDおよびAPNSトークンに関連付けられている人々のフルネーム。
熟練した人(政府の従業員、ハッカー、または単にあなたに対するgrみを持つエンジニア)の手にあるこの種の情報は、私たちのプライバシーを侵害するという点で私たちのほとんどに損害を与える可能性があります。このリリースでは、デバイスを使用する際のセキュリティを損なうものはありませんが、FBIが何百万もの加入者情報のリストを定期的に持ち歩いて、特定のデバイスまたは特定の人に対するアプリケーションの使用。
今日、データが漏洩した最悪のケースは、プッシュ通知を送信するためにすでにAppleに登録している誰かが、おそらくAPNSトークンがまだ有効であると仮定して、無断でメッセージを百万台のデバイスに送信しようとしたり、デバイス名を開発者または別のエンティティから機密ログまたはデータベースにアクセスできた場合は、UDID。このリークは、パスワードとユーザーIDを知っているような方法でのリモートアクセスを許可しません。
bmikeが指摘しているように、UDID自体は特に有害ではありません。しかし、攻撃者がUDIDが使用されている他のデータベースを危険にさらすことができる場合、2012年5月のこの記事が示すように、この組み合わせはかなりの個人情報を特定する可能性があります:OpenFeintによるApple UDIDの匿名化の解除。
最近公開されたMat Honanのハックと同様に、1つのセキュリティ侵害だけで過度に面倒なことはありませんが、攻撃者が使用する別のサービスを侵害できる場合、被害は指数関数的に増大する可能性があります。