昨天雷鋒網報道了一個名為「反安全」的黑客組織聲稱從FBI私人筆記本獲取了1200萬iOS 設備識別碼UDID,引起了很大反響,FBI趕忙站出來澄清稱黑客沒有確鑿證據,蘋果則聲明自己從未向FBI提供資料,現在看來鬧得有點大,要是不給個合理的說法,用戶是不會放過這些視其隱私為糞土的機構的,不管是誰!
而今天我們將從4方面分析,為什麼UDID泄露會引起這麼大反響?
1. 什麼是UDID?
UDID 是由子母和數字組成的40個字符串的序號,用來區別每一個唯一的iOS設備,包括 iPhones, iPads, 以及 iPod touches,這些編碼看起來是隨機的,實際上是跟硬件設備特點相聯繫的,另外你可以到iTunes點擊查詢序列號。
2. UDID是用來幹什麼的?
UDID可以關聯其它各種數據到相關設備上。例如,連接到開發者賬號,可以允許在發佈前讓設備安裝或測試應用;也可以讓開發者獲得iOS測試版進行體驗。
蘋果用UDID連接到蘋果的ID,這些設備可以自動下載和安裝從App Store購買的應用、保存從iTunes購買的音樂、幫助蘋果發送推送通知、即時消息。
在iOS 應用早期,UDID被第三方應用開發者和網絡廣告商用來收集用戶數據,可以用來關聯地址、記錄應用使用習慣……以便推送精準廣告。
3. 為什麼蘋果反對開發人員使用UDID?
許多開發者把UDID跟用戶的真實姓名、密碼、住址、其它數據關聯起來;網絡窺探者會從多個應用收集這些數據,然後順藤摸瓜得到這個人的許多隱私數據。但是哈佛數據實驗室的導師在2000年證實僅僅用ZIP、生日、性別就可以辨別87%的美國人。2010年10月巴克內爾大學信息安全和網絡副主任則表示大部分應用確實在頻繁傳輸UDID和私人信息。
「例如,Amazon以純文本的用戶真名登陸,跟UDID一起」Amazon.com和網絡竊取者都很容易匹配一個用戶的UDID和手機名稱。」而這些數據可以被關聯然後被賣給有意向的用戶,比如告商、配偶、離婚律師、債務催收公司,或工業間諜。
為了避免集體訴訟,蘋果最終決定在iOS 5 的時候,將這一慣例廢除,開發者被引導生成一個唯一的標識符,只能檢測應用程序,其他的信息不提供。現在應用試圖獲取UDID已被禁止,如果應用開發者硬是需要用戶信息,也需要用戶同意才可。
4. 為什麼UDID泄露受到這麼多人關注?
1. 最近的1200萬UDID泄露表明,雖然自去年10月已禁止,但有些應用開放商還沒刪除UDID信息。問題的嚴重性在於,UDID可以作為你進入賬戶的入口,就像有人不用密碼登陸你的賬戶;它會關聯到許多其它的隱私信息;但是又沒人保證這些信息的安全。 就最近《連線》雜誌的高級編輯Mat Honan做的一項實驗表明:黑客從Amazon賬戶獲取的信息可以破解用戶的iCloud賬戶、進入Email、登入Twitter賬號,然後擦拭用戶iPhone和MacBook Pro 的數據,這樣,用戶還有什麼隱私可言嗎?。
2. 此次泄露信息被披來自FBI,如果FBI可以入侵其它系統,肆意收集私人信息,這意味着政府機構可以隨意收集群眾的大量信息,勢必會引起公憤。目前最新進程是:FBI發佈聲明稱黑客無法證明自己的筆記本被入侵,或者如何證明FBI收集了這些數據。
Via arstechnica