Potensi bahaya apa yang muncul dari kebocoran massal UDID iOS?

Adakah yang bisa memberi tahu kita tentang apa yang bisa digunakan oleh seorang hacker untuk (atau daftar) UDID?

Kebocoran yang dilaporkan 4 September dari 1 juta UDID oleh AntiSec membuat saya khawatir. Tetapi haruskah saya melakukannya?

Apa skenario terburuk dengan seorang hacker yang memiliki sejuta UDID?

Sekarang setelah lebih banyak "kebenaran" keluar, kebocoran ini berasal dari perusahaan pihak ketiga, Blue Toad dan dari semua akun terkemuka , kebocoran itu sebenarnya tidak mengandung volume UDID atau data pribadi tambahan yang akan menyerang siapa pun sebagai " tentang." Kebocoran adalah data yang dikumpulkan sesuai dengan kebijakan yang ada oleh Apple dan app store dan sama sekali tidak unik karena ratusan perusahaan akan memiliki volume dan jenis data tersebut karena penggunaan UDID di masa lalu untuk mengidentifikasi pelanggan.

Dokumen yang bocor itu sendiri sebagian besar tidak berbahaya dari sudut pandang teknis, tetapi cukup mengejutkan jika Anda diharapkan untuk menjadi pribadi dan sekarang memiliki beberapa detail yang terbuka untuk umum.

Ini berisi satu baris dengan jenis informasi berikut untuk setiap perangkat yang dimaksudkan untuk dicantumkan:

UDID, token APNS, nama perangkat, jenis perangkat

Kecuali jika Anda seorang programmer dan menjalankan layanan yang dapat mendorong pesan melalui layanan pemberitahuan push Apple (APNS), maka Anda tidak dapat benar-benar mengambil tindakan apa pun berdasarkan file yang bocor.

Jika Anda memiliki catatan transaksi yang mencantumkan UDID atau nama / tipe perangkat dan ingin mengonfirmasi informasi lain, file ini dapat digunakan untuk menghubungkan dua bagian informasi bersama jika Anda sudah memiliki informasi itu.

Konsekuensi keamanan sebenarnya adalah bahwa "kebocoran" ini berasal dari file spreadsheet yang seharusnya berisi 12 juta entri - bukan juta yang bocor. Informasi terbaik yang kami miliki (jika Anda percaya kata - kata dari teks rilis yang memiliki sedikit kata-kata kotor jika Anda peduli tentang hal semacam itu ) adalah bahwa data nyata yang dicuri juga memiliki informasi yang sangat pribadi seperti kode pos, nomor telepon, alamat dan nama lengkap orang yang terkait dengan token UDID dan APNS.

Informasi semacam itu di tangan orang yang terampil (pegawai pemerintah, peretas, atau sekadar insinyur dengan dendam terhadap Anda) adalah sesuatu yang dapat merusak sebagian besar dari kita dalam hal melanggar privasi kami. Tidak ada dalam rilis ini yang tampaknya membahayakan keamanan Anda menggunakan perangkat - tetapi hal itu membuat hal-hal yang biasanya dianggap anonim kurang begitu jika FBI secara teratur membawa daftar jutaan informasi pelanggan yang akan memungkinkan mereka mengikat log dari penggunaan aplikasi ke perangkat tertentu atau orang tertentu.

Peristiwa terburuk dengan data yang bocor hari ini adalah seseorang yang telah terdaftar dengan Apple untuk mengirim pemberitahuan push mungkin dapat mencoba mengirim pesan yang tidak diminta ke jutaan perangkat (dengan asumsi token APNS masih valid) atau menghubungkan nama perangkat dengan nama perangkat. UDID jika mereka memiliki akses ke log sensitif atau database dari pengembang atau entitas lain. Kebocoran ini tidak memungkinkan akses jarak jauh seperti mengetahui kata sandi dan ID pengguna.

Seperti yang dicatat bmike, UDID sendiri tidak terlalu merusak. Namun jika penyerang dapat berkompromi dengan basis data lain di mana UDID digunakan, kombinasi tersebut dapat menghasilkan sedikit pengidentifikasian informasi pribadi, sebagaimana artikel ini mulai Mei 2012 menjabarkan: De-anonimisasi UDID Apple dengan OpenFeint .

Seperti halnya peretasan Mat Honan yang baru-baru ini dipublikasikan , satu pelanggaran keamanan saja mungkin tidak terlalu merepotkan, tetapi kerusakannya dapat bertambah eksponensial jika penyerang dapat melanggar layanan lain yang Anda gunakan.