Potensi bahaya apa yang muncul dari kebocoran massal UDID iOS?

19

Adakah yang bisa memberi tahu kita tentang apa yang bisa digunakan oleh seorang hacker untuk (atau daftar) UDID?

Kebocoran yang dilaporkan 4 September dari 1 juta UDID oleh AntiSec membuat saya khawatir. Tetapi haruskah saya melakukannya?

Apa skenario terburuk dengan seorang hacker yang memiliki sejuta UDID?

security udid apns Ethan Lee
sumber
1
Karena kami bukan situs pemrograman - saya akan menjawab ini untuk pemirsa di sini - pengguna produk Apple. Anda mungkin akan menerima jawaban yang berbeda jika Anda bertanya bagaimana cara mengeksploitasi token APNS ( yang tampaknya dapat kedaluwarsa dan sekarang sedang diacak per aplikasi oleh Apple ) di situs yang lebih berpusat pada pemrograman.
bmike

Jawaban:

18

Sekarang setelah lebih banyak "kebenaran" keluar, kebocoran ini berasal dari perusahaan pihak ketiga, Blue Toad dan dari semua akun terkemuka , kebocoran itu sebenarnya tidak mengandung volume UDID atau data pribadi tambahan yang akan menyerang siapa pun sebagai " tentang." Kebocoran adalah data yang dikumpulkan sesuai dengan kebijakan yang ada oleh Apple dan app store dan sama sekali tidak unik karena ratusan perusahaan akan memiliki volume dan jenis data tersebut karena penggunaan UDID di masa lalu untuk mengidentifikasi pelanggan.

Dokumen yang bocor itu sendiri sebagian besar tidak berbahaya dari sudut pandang teknis, tetapi cukup mengejutkan jika Anda diharapkan untuk menjadi pribadi dan sekarang memiliki beberapa detail yang terbuka untuk umum.

Ini berisi satu baris dengan jenis informasi berikut untuk setiap perangkat yang dimaksudkan untuk dicantumkan:

UDID, token APNS, nama perangkat, jenis perangkat

Kecuali jika Anda seorang programmer dan menjalankan layanan yang dapat mendorong pesan melalui layanan pemberitahuan push Apple (APNS), maka Anda tidak dapat benar-benar mengambil tindakan apa pun berdasarkan file yang bocor.

Jika Anda memiliki catatan transaksi yang mencantumkan UDID atau nama / tipe perangkat dan ingin mengonfirmasi informasi lain, file ini dapat digunakan untuk menghubungkan dua bagian informasi bersama jika Anda sudah memiliki informasi itu.

Konsekuensi keamanan sebenarnya adalah bahwa "kebocoran" ini berasal dari file spreadsheet yang seharusnya berisi 12 juta entri - bukan juta yang bocor. Informasi terbaik yang kami miliki (jika Anda percaya kata - kata dari teks rilis yang memiliki sedikit kata-kata kotor jika Anda peduli tentang hal semacam itu ) adalah bahwa data nyata yang dicuri juga memiliki informasi yang sangat pribadi seperti kode pos, nomor telepon, alamat dan nama lengkap orang yang terkait dengan token UDID dan APNS.

Informasi semacam itu di tangan orang yang terampil (pegawai pemerintah, peretas, atau sekadar insinyur dengan dendam terhadap Anda) adalah sesuatu yang dapat merusak sebagian besar dari kita dalam hal melanggar privasi kami. Tidak ada dalam rilis ini yang tampaknya membahayakan keamanan Anda menggunakan perangkat - tetapi hal itu membuat hal-hal yang biasanya dianggap anonim kurang begitu jika FBI secara teratur membawa daftar jutaan informasi pelanggan yang akan memungkinkan mereka mengikat log dari penggunaan aplikasi ke perangkat tertentu atau orang tertentu.

Peristiwa terburuk dengan data yang bocor hari ini adalah seseorang yang telah terdaftar dengan Apple untuk mengirim pemberitahuan push mungkin dapat mencoba mengirim pesan yang tidak diminta ke jutaan perangkat (dengan asumsi token APNS masih valid) atau menghubungkan nama perangkat dengan nama perangkat. UDID jika mereka memiliki akses ke log sensitif atau database dari pengembang atau entitas lain. Kebocoran ini tidak memungkinkan akses jarak jauh seperti mengetahui kata sandi dan ID pengguna.

bmike
sumber
1
Jika Apple sepadan dengan garamnya, token APNS akan dicabut ASAP. Namun, saya tidak akan terlalu berharap, mereka tidak terlalu responsif terhadap keamanan di masa lalu.
jrg
2
Saya pribadi akan berbicara dengan anggota kongres saya untuk memahami jika sebenarnya FBI tidak hanya membawa sekitar 12 juta token UDID / APNS / berbagai macam data pribadi lainnya yang tidak dienkripsi pada komputer portabel, tetapi lebih buruk lagi, berhasil membuatnya dicuri.
bmike
2
Token APNS tidak berharga bagi siapa pun yang tidak memiliki seluruh sertifikat digital APNS yang dibuat oleh pengembang aplikasi. Tidak mungkin mengirim pemberitahuan ke aplikasi tanpa sertifikat aplikasi itu. Tidak perlu mencabut token. Bahkan, Apple mungkin tidak bisa tanpa meletakkan bit baru di ponsel.
ohmi
@bmike terima kasih atas jawaban terperinci Anda. Jika memang FBI membawa 12 juta + milik UDID, apa yang dapat mereka lakukan dengan mereka dan dapatkah mereka sejauh melacak lokasi dan / atau penggunaan iPhone kami?
Ethan Lee
1
Tolong tunggu sebentar! Lebih banyak kecanggihan yang dibutuhkan, yang kita tahu adalah seseorang mendapatkan UDID dan mengatakan FBI mencuri mereka. Masuk akal, tentu saja. Sangat masuk akal bahwa kita akan mengambil kata ANYBODY daripada FBI, yang mungkin menjadi alasan mengapa siapa pun yang mengambil ini melemparkan FBI ke bawah bus! Mari kita menunggu untuk mendengar lebih banyak sebelum terlibat dalam permohonan yang tidak berguna kepada para wakil terpilih ...
chiggsy
7

Seperti yang dicatat bmike, UDID sendiri tidak terlalu merusak. Namun jika penyerang dapat berkompromi dengan basis data lain di mana UDID digunakan, kombinasi tersebut dapat menghasilkan sedikit pengidentifikasian informasi pribadi, sebagaimana artikel ini mulai Mei 2012 menjabarkan: De-anonimisasi UDID Apple dengan OpenFeint .

Seperti halnya peretasan Mat Honan yang baru-baru ini dipublikasikan , satu pelanggaran keamanan saja mungkin tidak terlalu merepotkan, tetapi kerusakannya dapat bertambah eksponensial jika penyerang dapat melanggar layanan lain yang Anda gunakan.

perampok
sumber
4
Sangat benar tentang kemampuan untuk menggunakan informasi ini untuk referensi silang dengan database lain. Ini jauh lebih menakutkan dengan kemungkinan alamat, nama, dan nomor telepon yang ditautkan dalam file catatan 12 juta.
bmike