Est-ce que quelqu'un pourrait nous éclairer sur ce qu'un hacker pourrait faire en utilisant un (ou une liste de) UDID ?
La fuite rapportée le 4 septembre de 1 million d'UDID par AntiSec me préoccupe. Mais devrais-je m'inquiéter ?
Quel est le scénario le plus grave avec un hacker qui a un million d'UDID ?
Maintenant que plus de "vérité" a été révélée, cette fuite provenait d'une société tierce, Blue Toad et par tous réputés comptes, la fuite ne contenait en fait ni le volume de UDID ni les données personnelles supplémentaires qui pourraient paraître "préoccupantes". La fuite était de données collectées conformément à la politique existante d'Apple et de l'app store et n'est en rien unique car des centaines d'entreprises posséderont ce volume et ce type de données en raison de l'utilisation passée de l'UDID pour identifier les clients.
Le document divulgué lui-même est principalement inoffensif d'un point de vue technique, mais assez choquant si vous pensiez qu'il était privé et que désormais certains détails sont exposés publiquement.
Il contient une ligne avec les types d'informations suivants pour chaque appareil censé être répertorié :
UDID, jeton APNS, nom de l'appareil, type de l'appareil
Sauf si vous êtes programmeur et exécutez un service qui pourrait envoyer un message via le service de notification push d'Apple (APNS), vous ne pouvez vraiment rien faire en fonction du fichier divulgué.
Si vous avez des enregistrements de transactions qui répertorient un UDID ou un nom / type d'appareil et que vous vouliez confirmer une autre information, ce fichier pourrait être utilisé pour lier deux informations ensemble si vous aviez déjà ces informations.
Les véritables répercussions en termes de sécurité sont que cette "fuite" provient d'un fichier de feuille de calcul qui contient soi-disant 12 millions d'entrées - pas le million qui a été divulgué. La meilleure information que nous ayons (si vous croyez les paroles du texte de la publication qui contient quelques jurons si cela vous importe) est que les véritables données volées contenaient également des informations très personnelles comme des codes postaux, des numéros de téléphone, des adresses et des noms complets de personnes associées aux UDID et jetons APNS.
Ce type d'informations entre les mains d'une personne qualifiée (employé du gouvernement, hacker, ou simplement un ingénieur avec une rancune contre vous) est quelque chose qui pourrait porter atteinte à la plupart d'entre nous en violant notre vie privée. Rien dans cette publication ne semblerait compromettre la sécurité de votre utilisation de l'appareil - mais cela rend les choses qui seraient normalement anonymes moins anonymes si le FBI transporte régulièrement des listes de millions d'informations sur les abonnés leur permettant de relier les journaux d'utilisation de l'application à un appareil spécifique ou à une personne spécifique.
Le pire scénario avec les données divulguées aujourd'hui serait qu'une personne déjà enregistrée auprès d'Apple pour envoyer des notifications push pourrait peut-être tenter d'envoyer des messages non sollicités aux millions d'appareils (en supposant que les jetons APNS sont toujours valides) ou sinon corréler un nom d'appareil avec un UDID s'ils avaient accès à des journaux sensibles ou à une base de données d'un développeur ou d'une autre entité. Cette fuite ne permet pas un accès à distance de la manière dont la connaissance d'un mot de passe et d'un identifiant utilisateur le ferait.
Comme le note bmike, l'UDID en soi n'est pas particulièrement dommageable. Cependant, si les attaquants parviennent à compromettre d'autres bases de données où l'UDID est utilisé, la combinaison pourrait fournir pas mal d'informations personnelles identifiantes, comme le décrit cet article de mai 2012 : Dé-anonymisation des UDIDs Apple avec OpenFeint.
Comme pour le récent piratage hautement médiatisé de Mat Honan, une violation de sécurité en soi peut ne pas être très préoccupante, mais les dommages peuvent être exponentiels si les attaquants peuvent compromettre un autre service que vous utilisez.
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
