सामूहिक आईओएस यूडीआईडी ​​रिसाव से क्या संभावित खतरे पैदा होते हैं?

क्या कोई हमें बता सकता है कि एक हैकर एक (या एक सूची) यूडीआईडी ​​के लिए क्या उपयोग कर सकता है?

एंटीसेक द्वारा 1 मिलियन यूडीआईडी ​​के 4 सितंबर के लीक होने से मुझे चिंता हुई। लेकिन क्या मुझे?

एक हैकर के साथ सबसे खराब स्थिति क्या है जिसके पास एक मिलियन यूडीआईडी ​​है?

अब जबकि अधिक "सत्य" सामने आया है, यह लीक एक थर्ड पार्टी कंपनी, ब्लू टॉड और सभी प्रतिष्ठित खातों से हुआ था , इस लीक में वास्तव में यूडीआईडी ​​की मात्रा या अतिरिक्त व्यक्तिगत डेटा नहीं था जो किसी को भी हड़ताल कर देगा " के विषय में। " लीक Apple और ऐप स्टोर द्वारा मौजूदा नीति के अनुसार एकत्र किए गए डेटा का था और यह बिल्कुल भी अनोखा नहीं था क्योंकि ग्राहकों की पहचान करने के लिए UDID के पिछले उपयोग के कारण सैकड़ों कंपनियों के पास उस डेटा और वॉल्यूम का प्रकार होगा।

लीक हुआ दस्तावेज अपने आप में एक तकनीकी दृष्टिकोण से ज्यादातर हानिरहित है, लेकिन यदि आप निजी होने की उम्मीद करते हैं तो काफी चौंकाने वाला है और अब आपके पास कुछ विवरण उजागर हो गए हैं।

इसमें सूचीबद्ध होने वाले प्रत्येक उपकरण के लिए निम्न प्रकार की जानकारी के साथ एक पंक्ति है:

UDID, APNS टोकन, डिवाइस का नाम, डिवाइस प्रकार

जब तक आप एक प्रोग्रामर नहीं हैं और एक ऐसी सेवा चलाते हैं, जो ऐप्पल की पुश नोटिफिकेशन सेवा (APNS) के माध्यम से एक संदेश दे सकती है, तो आप वास्तव में लीक हुई फ़ाइल के आधार पर कोई कार्रवाई नहीं कर सकते।

यदि आपके पास एक UDID या डिवाइस नाम / प्रकार को सूचीबद्ध करने वाले लेनदेन के रिकॉर्ड हैं और किसी अन्य जानकारी की पुष्टि करना चाहते हैं, तो इस फ़ाइल का उपयोग जानकारी के दो टुकड़ों को एक साथ जोड़ने के लिए किया जा सकता है यदि आपके पास पहले से ही वह जानकारी थी।

वास्तविक सुरक्षा प्रभाव यह है कि यह "रिसाव" एक स्प्रेडशीट फ़ाइल से है जिसमें माना जाता है कि इसमें 12 मिलियन प्रविष्टियाँ हैं - दस लाख नहीं जो लीक हुए थे। हमारे पास सबसे अच्छी जानकारी (यदि आप जारी पाठ के शब्दों पर विश्वास करते हैं जिसमें कुछ मामूली अपवित्रता है यदि आप उस प्रकार की परवाह करते हैं ) तो यह है कि जो वास्तविक डेटा चुराया गया था उसमें बहुत ही व्यक्तिगत जानकारी जैसे ज़िप कोड, टेलीफोन नंबर, पते थे और UDID और APNS टोकन से जुड़े लोगों के पूरे नाम।

एक कुशल व्यक्ति (सरकारी कर्मचारी, हैकर, या बस आपके खिलाफ एक शिकायत के साथ एक इंजीनियर) के हाथों में इस तरह की जानकारी कुछ ऐसी है जो हमारी गोपनीयता का उल्लंघन करने के मामले में हम में से अधिकांश को नुकसान पहुंचा सकती है। इस रिलीज़ में कुछ भी नहीं लगता है कि आपके डिवाइस का उपयोग करने की सुरक्षा से समझौता किया जाएगा - लेकिन यह उन चीजों को करता है जो सामान्य रूप से गुमनाम कम दिखाई देंगे यदि एफबीआई नियमित रूप से लाखों ग्राहकों की जानकारी की सूची ले रहा है जो उन्हें लॉग को टाई करने देगा। एक विशिष्ट उपकरण या एक विशिष्ट व्यक्ति के लिए आवेदन का उपयोग करें।

आज लीक हुए डेटा के साथ सबसे बुरी स्थिति यह होगी कि पुश नोटिफिकेशन भेजने के लिए ऐप्पल के पास पहले से ही पंजीकृत है जो शायद मिलियन डिवाइसों को अवांछित संदेश भेजने का प्रयास कर सकता है (यह मानते हुए कि APNS टोकन अभी भी मान्य हैं) या अन्यथा डिवाइस नाम के साथ सहसंबंधित करें UDID अगर उनके पास संवेदनशील लॉग या किसी डेवलपर या किसी अन्य संस्था से डेटाबेस तक पहुँच हो। यह रिसाव उस तरीके से रिमोट एक्सेस की अनुमति नहीं देता है, जिससे पासवर्ड और यूजर आईडी पता हो।

Bmike नोट के रूप में, UDID अपने आप में विशेष रूप से हानिकारक नहीं है। हालांकि अगर हमलावर यूडीआईडी ​​का उपयोग करने वाले अन्य डेटाबेस से समझौता करने में सक्षम होते हैं, तो संयोजन व्यक्तिगत जानकारी की काफी पहचान कर सकता है, क्योंकि मई, 2012 के इस लेख से पता चलता है: OpenFint के साथ Apple UDIDs का अनाउंसमेंट ।

हाल ही में अत्यधिक प्रचारित मैट होनान हैक के साथ , इस पर एक सुरक्षा उल्लंघन अत्यधिक परेशान करने वाला नहीं हो सकता है, लेकिन नुकसान तेजी से बढ़ सकता है यदि हमलावर आपके द्वारा उपयोग की जाने वाली किसी अन्य सेवा का उल्लंघन कर सकते हैं।