해커가 하나 (또는 하나의) UDID를 사용할 수있는 것에 대해 누구나 우리를 밝힐 수 있습니까?
AntiSec에 의한 백만 개의 UDID 중 9 월 4 일에 유출 된 유출로 인해 걱정이됩니다. 그러나 나는해야합니까?
백만 개의 UDID를 보유한 해커의 최악의 시나리오는 무엇입니까?
답변:
더 많은 "진실"이 나왔기 때문에,이 유출은 제 3 자 회사 인 Blue Toad 와 모든 유명 계정 에 의한 것이 었습니다. 유출에는 실제로 UDID의 양이나 누군가를 " 에 관하여." 애플과 앱 스토어의 기존 정책에 따라 수집 된 데이터 유출은 수백 개의 회사가 과거 UDID를 사용하여 고객을 식별했기 때문에 그 양과 유형의 데이터를 가지게되므로 전혀 독특하지 않습니다.
유출 된 문서 자체는 기술적 인 관점에서 대부분 무해하지만, 개인 정보로 예상되어 공개적으로 공개 될 경우 매우 충격적입니다.
나열 될 각 장치에 대해 다음과 같은 유형의 정보가있는 한 줄이 포함됩니다.
UDID, APNS 토큰, 장치 이름, 장치 유형
프로그래머가 아니고 Apple의 APNS (Push Notification Service)를 통해 메시지를 푸시 할 수있는 서비스를 실행하지 않으면 유출 된 파일을 기반으로 어떤 조치도 취할 수 없습니다.
UDID 또는 장치 이름 / 유형을 나열하는 트랜잭션 레코드가 있고 다른 정보를 확인하려는 경우, 해당 정보가 이미있는 경우이 파일을 사용하여 두 개의 정보를 함께 연결할 수 있습니다.
실제 보안 효과는이 "누설"이 유출 된 수백만 개가 아니라 1 천 2 백만 개 항목이 포함 된 스프레드 시트 파일에서 비롯된 것입니다. 우리가 가진 최고의 정보 (당신 이 그런 종류의 일에 관심이 있다면 약간의 욕설이 있는 릴리스 텍스트 의 말 을 믿는 다면 ) 도난당한 실제 데이터에는 우편 번호, 전화 번호, 주소와 같은 매우 개인적인 정보가 있다는 것입니다 UDID 및 APNS 토큰과 관련된 사람들의 이름.
숙련 된 사람 (정부 직원, 해커 또는 단순히 원한을 가진 엔지니어)의 손에있는 그러한 종류의 정보는 우리의 개인 정보를 침해하는 관점에서 우리 대부분에게 피해를 줄 수있는 것입니다. 이 릴리스의 어떤 것도 장치를 사용하는 사용자의 보안을 손상 시키지는 않지만 FBI가 정기적으로 수백만 명의 구독자 정보 목록을 가지고 있으면 로그를 묶을 수 있습니다. 특정 장치 또는 특정 사람에게 응용 프로그램 사용.
오늘 유출 된 데이터의 최악의 사건은 푸시 알림을 보내기 위해 이미 Apple에 등록한 사람이 요청하지 않은 메시지를 백만 개의 장치로 보내려고 시도하거나 (APNS 토큰이 여전히 유효한 것으로 가정) 장치 이름을 개발자 또는 다른 엔티티의 민감한 로그 또는 데이터베이스에 액세스 할 수있는 경우 UDID 이 누출로 인해 비밀번호와 사용자 ID를 아는 방식으로 원격 액세스가 허용되지 않습니다.
bmike가 지적했듯이 UDID 자체는 특별히 손상되지 않습니다. 그러나 공격자가 UDID가 사용되는 다른 데이터베이스를 손상시킬 수 있다면이 조합은 개인 정보를 식별 할 수 있습니다.이 기사는 2012 년 5 월의 기사에서 알 수 있습니다. OpenFeint를 사용하여 Apple UDID 익명화 해제
최근에 널리 알려진 Mat Honan 해킹 과 마찬가지로 자체 보안 위반은 지나치게 번거롭지 않지만 공격자가 사용하는 다른 서비스를 위반할 경우 피해가 기하 급수적으로 증가 할 수 있습니다.