Quais perigos potenciais surgem de um vazamento em massa do UDID do iOS?

Alguém pode nos esclarecer com o que um hacker poderia usar um (ou uma lista de) UDID?

O vazamento relatado em 4 de setembro de 1 milhão de UDIDs pela AntiSec me preocupa. Mas devo?

Qual é o pior cenário possível para um hacker com um milhão de UDIDs?

Agora que mais "verdade" foi revelada, esse vazamento foi de uma empresa terceirizada, a Blue Toad e, segundo todas as contas respeitáveis , o vazamento na verdade não continha o volume de UDID ou os dados pessoais adicionais que chamariam a atenção de " relativo." O vazamento foi de dados coletados de acordo com a política existente pela Apple e pela loja de aplicativos e não é de todo exclusivo, já que centenas de empresas terão esse volume e tipo de dados devido ao uso passado do UDID para identificar clientes.

O documento vazado em si é praticamente inofensivo do ponto de vista técnico, mas bastante chocante se você espera ser privado e agora tem alguns detalhes expostos publicamente.

Ele contém uma linha com os seguintes tipos de informações para cada dispositivo que deve ser listado:

UDID, token APNS, nome do dispositivo, tipo de dispositivo

A menos que você seja um programador e execute um serviço que possa enviar uma mensagem através do serviço de notificação por push (APNS) da Apple, não será possível executar nenhuma ação com base no arquivo vazado.

Se você possui registros de transações que listam um UDID ou nome / tipo de dispositivo e deseja confirmar outra informação, esse arquivo pode ser usado para vincular duas informações, se você já tiver essas informações.

As verdadeiras ramificações de segurança são que esse "vazamento" é de um arquivo de planilha que supostamente contém 12 milhões de entradas - não o milhão que vazou. A melhor informação que temos (se você acredita nas palavras do texto da versão que tem alguma linguagem obscena se você se importa com esse tipo de coisa ) é que os dados reais que foram roubados também tinham informações muito pessoais, como códigos postais, números de telefone, endereços e nomes completos de pessoas associadas aos tokens UDID e APNS.

Esse tipo de informação está nas mãos de uma pessoa qualificada (funcionário do governo, hacker ou simplesmente um engenheiro com rancor contra você) é algo que pode causar danos à maioria de nós em termos de violação de nossa privacidade. Nada neste lançamento parece comprometer a segurança de você usar o dispositivo - mas torna menos comuns as coisas que seriam vistas como anônimas, se o FBI carregasse regularmente listas de milhões de informações de assinantes que permitiriam vincular registros de uso do aplicativo para um dispositivo específico ou uma pessoa específica.

O pior caso com os dados divulgados hoje seria alguém que já se registrou na Apple para enviar notificações por push, talvez tente enviar mensagens não solicitadas aos milhões de dispositivos (supondo que os tokens APNS ainda sejam válidos) ou correlacionar um nome de dispositivo a um UDID se eles tivessem acesso a logs confidenciais ou a um banco de dados de um desenvolvedor ou outra entidade. Esse vazamento não permite acesso remoto da maneira que o conhecimento de uma senha e um ID de usuário permitiria.

Como observa o bmike, o UDID por si só não é particularmente prejudicial. No entanto, se os invasores puderem comprometer outros bancos de dados nos quais o UDID é usado, a combinação poderá render um pouco de informações pessoais de identificação, como mostra este artigo de maio de 2012: Des-anonimizando os UDIDs da Apple com o OpenFeint .

Como no recente hack de Mat Honan , altamente divulgado , uma violação de segurança por si só pode não ser muito problemática, mas o dano pode crescer exponencialmente se os invasores violarem outro serviço que você usa.