UDID入門:了解Apple的資料外洩狀況

 當前一陣子出現了一百萬筆Apple UDID被駭客激進份子竊取的消息傳出後,使用者驚慌失措:什麼是UDID?個人識別身份資訊要怎麼經由UDID洩漏?我該如何保護我的個人識別資訊?

 

 什麼是UDID?

 UDID本身只是一段冗長的字串,是所有iPhone、iPad和iPod Touch的唯一序號,由長長的一串數字和字母所組成。因此,它對駭客來說幾乎是無用的,也不會影響到使用者的隱私或安全。直到最近讓開發者可以在未經使用者許可下自由的收集,使得開發者和他們的合作廣告網路可以追踪安裝應用程式的族群並監控使用狀況,提供針對性廣告或提升使用者體驗。

 個人識別資訊要如何跟UDID連結?

 在收集UDID時,許多蘋果開發者會將匿名UDID字串代碼儲存在資料庫中,還加上了開發者同樣從應用程式擷取來的裝置擁有者的個人識別資訊。這也是為何應用程式開發者 – BlueToad可以去建立一個龐大的UDID和個人資料(如使用者姓名、個人郵件地址和電話號碼)的資料庫,原本被駭客錯誤的認為是來自「FBI外洩」的資料。一旦結合這些額外的個人資訊, UDID就可以提供網路犯罪份子一個寶庫用來進行個人詐欺、網路詐騙等活動,或用來幫忙破解其他更有價值的使用者帳號。

 我該如何在這類型風險下保護自己?

 壞消息是,沒有辦法知道誰存取過你的UDID,也沒有辦法防止它落入壞人之手。在這由iOS開發者、發行商、廣告網路和其他第三方團體所組成的Apple複雜生態環境中,你的UDID可能已經被分享給太多外部團體了,特別是如果你超喜歡玩應用程式的話。這件事本身並沒有太大問題,真正的問題是開發者所建立的資料庫會綁定這個產品的唯一識別碼和你的個人資料。你可以在出現警告時試著限制授權給開發者的資訊,安裝應用程式前先讀一讀那幾行小字,仔細檢查每個應用程式所要求的權限。但是,在許多狀況下,資訊已經存在那裡了,如果黑客知道要去哪找,最終就是會落入壞人之手。

 好消息是,Apple嚴格的應用程式商店審核小組已經開始拒絕新的應用程式去要求UDID,而且昨天所介紹的新iOS 6作業系統也會用一套新的API來取代UDID,這也是Apple朝向完全不使用這組數字的不久將來所踏出的第一步。

 對於那些已經受到影響或是關心UDID使用的人,主要問題是UDID依然存在,這個龐大資料庫的資訊還握在第三方開發者手上。就這一點而言,唯一可以讓你變換代碼並且重新開始的方法只有買支新手機,然後在選擇要分享哪些資訊給應用程式時更加小心。

 

@原文出處:UDID Primer: Breaking down Apple’s leaky situation作者:Erica Benton

  

◎延伸閱讀

  • l   駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中
  • UDID入門:了解Apple的資料外洩狀況 當前一陣子出現了一百萬筆Apple UDID被駭客激進份子竊取的消息傳出後,使用者驚慌失措:什麼是UDID?個人識別身份資訊要怎麼經由UDID洩漏?我該如何保護我的個人識別資訊? 

    什麼是UDID?

     

    UDID本身只是一段冗長的字串,是所有iPhone、iPad和iPod Touch的唯一序號,由長長的一串數字和字母所組成。因此,它對駭客來說幾乎是無用的,也不會影響到使用者的隱私或安全。直到最近讓開發者可以在未經使用者許可下自由的收集,使得開發者和他們的合作廣告網路可以追踪安裝應用程式的族群並監控使用狀況,提供針對性廣告或提升使用者體驗。

     

    個人識別資訊要如何跟UDID連結?

     

    在收集UDID時,許多蘋果開發者會將匿名UDID字串代碼儲存在資料庫中,還加上了開發者同樣從應用程式擷取來的裝置擁有者的個人識別資訊。這也是為何應用程式開發者 – BlueToad可以去建立一個龐大的UDID和個人資料(如使用者姓名、個人郵件地址和電話號碼)的資料庫,原本被駭客錯誤的認為是來自「FBI外洩」的資料。一旦結合這些額外的個人資訊, UDID就可以提供網路犯罪份子一個寶庫用來進行個人詐欺、網路詐騙等活動,或用來幫忙破解其他更有價值的使用者帳號。

     

    我該如何在這類型風險下保護自己?

     

    壞消息是,沒有辦法知道誰存取過你的UDID,也沒有辦法防止它落入壞人之手。在這由iOS開發者、發行商、廣告網路和其他第三方團體所組成的Apple複雜生態環境中,你的UDID可能已經被分享給太多外部團體了,特別是如果你超喜歡玩應用程式的話。這件事本身並沒有太大問題,真正的問題是開發者所建立的資料庫會綁定這個產品的唯一識別碼和你的個人資料。你可以在出現警告時試著限制授權給開發者的資訊,安裝應用程式前先讀一讀那幾行小字,仔細檢查每個應用程式所要求的權限。但是,在許多狀況下,資訊已經存在那裡了,如果黑客知道要去哪找,最終就是會落入壞人之手。

      繼續閱讀

在使用行動付費和NFC之前,先確保你可以追踪你的手機

作者:Greg Boyle

隨著iPhone 5的發佈也帶來了一些有趣的新功能,而這些也符合之前的傳聞和猜測。它更薄更輕,有更好的鏡頭和螢幕,更多的麥克風,新的連接埠,更好的無線網路,支援4G/LTE網路,還有就是速度比4S更快。不過缺少一個主要項目,就是支援NFC。NFC是Near-Field-Communication(近距離無線通訊)的縮寫,也就是手機用來代替信用卡或火車票(還有許多其他方面)作為支付和票務系統所使用的技術。

Google在2010年所發表的三星Nexus S(我的第一款Android手機)開始,就在他們的Android作業系統裡支援NFC,而且在最近推出的版本 – Ice Cream Sandwich(Android 4.0)和Jelly Bean(Android 4.1)內有很大的進步。Nokia在2007年一月發表了6131 NFC(國內稱為6131i) –  我很確定家裡不知道哪個抽屜裡躺著一支。Symbian和Blackberry也都有支援NFC,這也使得Apple是唯一不支援該技術的主要智慧型手機作業系統廠商。

 

Apple的資深副總Phil Schiller在最近的一次採訪中說到,Passbook已經足以代替NFC來做行動交易。不過持懷疑態度的人認為,Apple只是還沒有想到要如何利用NFC來賺錢,並且整合進他們的iTunes生態系。 繼續閱讀

<惡意Android app>手機一直顯示”充電中~” 其實是下載的假太陽能充電應用程式默默在偷個資

ANDROIDOS_CONTACTS.E 惡意程式資料竊取行為分析

有一款假太陽能充電應用程式,用假正面評價騙取下載,卻附贈偷資料病毒:ANDROIDOS_CONTACTS.E 惡意程式。本文將深入探討該程式的運作方式以及歹徒如何從中獲利。

此次分析我們將選定「Solar Change」(太陽能充電) 這個 App 程式來做說明。我們發現這個 Android App 程式 (也就是我們偵測到的 ANDROIDOS_CONTACTS.E) 會從受感染的裝置蒐集一些聯絡資訊,如:電子郵件地址。駭客取得這些聯絡資訊之後,就能將這些資訊賣給一些專門從事犯罪攻擊或散發垃圾郵件的集團。

當使用者安裝這個 App 程式時,裝置會顯示該程式所要求開放的權限。若您仔細查看這些權限就會發現,該程式也要求取得裝置上儲存的詳細聯絡人資料及帳號清單。

「Solar Change」(太陽能充電) 這個 App會要求開放的權限
「Solar Change」(太陽能充電) 這個 App會要求開放的權限

 

權限

功能

android.permission.READ_CONTACTS

允許 App 程式讀取使用者的聯絡人資料

android.permission.BATTERY_STATS

允許 App 程式蒐集電池相關統計數據

android.permission.INTERNET

允許 App 程式建立網際網路連線

android.permission.READ_PHONE_STATE

開放手機狀態的唯讀權限

android.permission.GET_ACCOUNTS

允許存取「帳戶服務」當中的帳戶清單

不幸的事,這些權限一旦開放,就會讓 App 程式取得某些詳細資料,並且傳送給專門散發垃圾郵件的集團。

「Solar Charge」這個應用程式不僅會要求開放聯絡資料與帳戶服務的存取權限之外,此應用程式本身根本就沒有作用。它只會一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。在假裝充電時,還會出現另一個訊息說您的裝置不適用該程式。

就在假裝充電的過程當中,此 App 程式其實正試圖竊取使用者裝置上的詳細聯絡資訊和 Gmail 帳戶清單,然後傳送至遠端的某個伺服器。

「Solar Charge」一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。
「Solar Charge」一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。

繼續閱讀

香港有4成中小學生看過陳冠希不雅照,台灣有多少孩子看過李宗瑞影片?

孩子上網找作業,竟誤入線上紅燈區,該怎麼辦?

劉先生在出差時收到了太太寄來的電子郵件,是他們九歲大的女兒善用網路在做學校功課的網頁搜尋歷史記錄,像是「日蝕」或是「日蝕形成的原因」,劉先生這才想起他們跟孩子共用電腦,但並沒有預先開啟Google的安全搜尋(註),這有可能讓孩子在毫無戒心下進入成人或其他不當內容外,還有病毒、網路釣魚(Phishing)霸凌bully和那些在現實世界裡不會讓孩子去接觸的陌生人。

如果你想瞭解牛奶的成分對過敏兒的影響,在搜尋引擎上輸入「 Milk」,它給的建議會讓父母更憂心,因為搜尋結果包含「 Sex (性)」、「Porn(色情)」等兒童不宜字眼;如果你未成年的孩子對限制級話題很好奇,在鍵盤輸入「李宗瑞」卻跳出「李宗瑞完整版影片」,你該擔心的除了是否該矇住他的眼,還要當心電腦是否同時被下載惡意程式?

如果你的孩子熟悉的遊戲網站,一夕之間被腥羶圖片所取代,你該懷疑不只是該網站被駭客入侵了,而是他究竟已經看了多少不該看的

網路世界的道路條條都通往線上紅燈區,連某教育機構網站也曾被色情業者侵入的命運。那麼勸導孩子們不要搜尋色情資訊也只是徒勞之舉,因為他們無論如何都會接觸到這些資訊,這也許可以解釋為何當年10名香港中小學生中,有4名看過陳冠希不雅照。

散播色情資訊並不是這些入侵行動的唯一目的。相反地,它證明瞭色情資訊只是引誘無知使用者上鉤的初步誘餌,最終目的是讓受害者下載惡意程式,甚至為竊取資料做暖場準備。

網路資訊良莠不齊,該如何避免缺乏自制力和分辨力的兒童受到誤導,甚至將來走上犯罪道路呢?

以下是幾年前的數據,至今看來仍很讓家長毛骨悚然:

BSA商業軟體聯盟2008 年公布「台灣地區青少年網路使用調查」指出,8成青少年使用網路下載免費音樂、軟體、圖片、影像等,其中54.7%曾因下載而中毒;40.2%不知道下載的資料是否合法。受訪者中自己一個人上網的比率達78.6%;近3成比例以使用即時通訊軟體聊天、玩網路遊戲為主,有超過6成的青少年會與同學分享下載資訊。對照香港《文匯報》進行的問卷調查顯示:多達4成香港中小學生曾接觸陳冠希不雅照片,其中將近半數還與同學互相傳。事件爆發後的後遺症已經擴及家有青少年的父母,天真無邪的小學生一年級孩子不小心瀏覽網頁看到照片後,滿臉疑惑問母親:「他們在做什麼?」,尷尬的母親不知如何回答,但這情況還算好的,有國中少年呼朋引伴下課後結伴到同學家偷偷”分享”相關照片,直到被家長撞見。

<數位時代>雜誌在2007年公布的「一百大熱門網站」,發現百大名單上約有三成網站屬於情色、腥羶;蕃薯藤公布調查也顯示,有近三成的小朋友上過色情網站。根據行政院研考員會所公布的資料顯示,56%的國中小學生收過色情垃圾郵件。2006年有調查顯示利用 Google 搜尋”porn” (色情圖片)關鍵字結果中,有 10 個銷售性愛相關產品與服務的關鍵字廣告連結出現了 139,000,000 次。今天,上述這些關鍵字廣告連結或許已經不存在,但「Porn」這個熱門英文關鍵字卻產生了更多的結果:在數秒內達到 1,720,000,000  筆資料,而中文字的「色情」查詢結果則約有 171,000,000 項。這意味著未成年孩子在使用搜尋引擎時潛伏這更多的色情威脅。

要「牛奶」,給「腥羶」最平凡的字彙,竟有不堪入目的搜尋結果

在網路上搜尋最平凡的詞彙往往也會產生令人不堪入目的結果,其中不僅充斥的色情網頁,更別說夾帶惡意程式的色情圖片了。趨勢科技發現的案例中發現造訪賭博網站或成人網站並不一定會受到網頁威脅攻擊,反倒是一般字眼的搜尋引擎連結,卻可能潛藏著感染到惡意程式的危機。以下這圖可發現,光是輸入「 milk(牛奶)」這個字眼,竟出現「 Sex(性)」、「Porn(色情)」等兒童不宜字眼。你難以避免孩子在準備家庭作業時,不會誤入黃網。

明明搜尋牛奶(Milk),卻出現色情(Porn)字眼
明明搜尋牛奶(Milk),卻出現色情(Porn)字眼

 

孩子的偶像,可能成心靈/電腦殺手

現在孩子早熟,小學生也有自己崇拜的偶像,但名人也是病毒或是間諜軟體最愛,包含:林志玲、舒淇、周杰倫、蔡依玲、孫燕姿、劉德華、江蕙、都上榜。病毒藉著試聽周杰倫與孫燕姿新歌 MP3為餌,讓實力派歌手名氣成為散播病毒工具; 而蔡依林則以”蔡依林短裙顯誘惑”的後門程式偷 Windows 登錄密碼。當然色情也不會放過這些名人,劉德華同性戀被偷拍”、”好萊塢明星布來德比特走光圖”、”貝克漢召妓照片”,都是色情與病毒結合的例子。最近的例子是李安的限制級得獎作品「色戒」被病毒以「迴紋針床戲一刀未剪版」影片為號召,讓許多進不了戲院的兒童們,可能在彈指間被暗藏木馬程式,進行網路拍賣詐騙、盜取網友的虛擬寶物出售等方式荼毒。相關文章:孩子在網路追逐明星的動態當心幕後黑手偷個資

 

好玩遊戲區不好玩 連遊戲網站 CEO 也遇害

駭客常藉網站漏洞植入惡意連結,並在家用電腦植入後門程式,作為發起攻擊的跳板。部分電腦可能執行P2P下載或線上遊戲時,意外成為遭搖控的僵屍電腦,甚至因此觸法。有些以遊戲免費下載為號召的網頁,當您執行程式時,並沒有任何異狀,但在背景下已秘密安裝了一個遠端控制的程式,駭客甚至可以取得密碼冒充身份上網。更防不勝防的是從以下的例子,您可以發現,這絕非只有小孩會犯的錯誤:NewWorld.com (Avault.com 亦為該公司其下的網站) 的總裁兼 CEO Angel Munoz 所遭遇的色情資訊綁架案例更不容易察覺。當他在搜尋引擎 AltaVista.com 中查詢該公司網站時,他驚訝地發現搜尋結果中顯示的並非遊戲網站,而是色情網站。

PC-cillin 2013雲端版家長防護功能,可為家庭用戶的網路安全把關,家長防護網可過濾並防止幼童或個人瀏覽至色情、暴力等內容不良的網站。家長可根據孩子的年齡分門別類地“阻止不需要的Web站點訪問”,或是更嚴密地設置“允許的Web站點”,限制孩子只能瀏覽與課業或其他日常學習相關網站進行設置,新版功能可設定允許使用軟體的時間並監控網路活動報告,如此一來可避免兒童從搜索引擎或其他惡意站獲得有礙身心發展的資訊。

*以下是當你在輸入”日蝕”時PC-cillin 2013雲端版看到的真相,希望劉先生的女兒,沒有點選到紅色顯示的危險網頁。

PC-cillin 搜尋結果 綠色安全 紅色危險

 

:Google 「安全搜尋」(以下文字來自 Google)

修改安全搜尋設定

許多使用者希望在搜尋結果中排除成人網站。Google 的「安全搜尋」會過濾含有露骨色情內容的網站,並將這些網站從搜尋結果中移除。沒有任何篩選機制能徹底過濾不當內容,但「安全搜尋」應能過濾大部分不適當的內容。

如要變更「安全搜尋」設定,請輕按 Google 搜尋應用程式主畫面右上角的齒輪圖示。將「安全搜尋」設為 [關閉],即會停止過濾搜尋結果中的成人內容。
注意:「中度篩選」設定只會過濾搜尋結果中的限制級圖片。「嚴格篩選」設定則會同時過濾限制級的文字和圖片。

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

 

網路安全專家趨勢科技與您一起關心兒童:www.trendmicrio.com

 

◎延伸閱讀

 

 

 

 

不用再駭怕!!試用PC-cillin 2013 雲端版 即刻掃描塗鴉牆,紅綠色標示一目了然,地雷區bye bye

◎ 免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載即刻免費下載

 

PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網
   

App 程式如同瀏覽器:行動裝置 App 程式值得信任嗎?

趨勢科技的研究小組在進行腦力激盪,試圖找出值得研究的計劃時,有人提到手機 App 程式其實骨子裡就是一個「經過包裝的瀏覽器」。

請容我娓娓道來。當您打開您最愛的 App 程式,它很可能會連上某個網站,然後以某種方式呈現所取得的資料。當然,並非所有手機 App 程式都會這麼做,只不過絕大部分是如此。我所說的並不侷限於 AmazoneBay 的 App 程式 (這些當然看起來像瀏覽器,只不過查詢的對象僅限於他們的特定伺服器而已),還有像 Flipboard 這類的 App 程式也是。我很喜歡 Flipboard,但骨子裡,它只不過是連上 FacebookTwitter,然後用漂亮的方式來呈現內容而已 (好吧,它非常漂亮)。

這樣的情況會不會讓 App 程式更容易遭遇到一般瀏覽器不會遇到的狀況 (也就是不可預期的行為) 呢?例如,如果某個 App 程式會發送制式化的請求到特定的網站,是不是會有人利用這一點來操弄這個 App 程式或這個網站呢?

我針對這一點展開了研究,並且建立了一個環境來窺探所有進出 AndroidiPhone/iPad 行動裝置 App 程式的網路流量。我測試了很多 App 程式,查看它們的流量,看看是否有些漏洞可以利用,結果我真的有所發現。

我的朋友推薦了一個顯然非常熱門的資源管理遊戲。這個遊戲每星期都會提供一份獎品給遊戲玩家。但現在他們已經取消了這項作法,這有可能是我的錯 (儘管我從未直接和他們聯繫)。這項機制的運作方式大致如下:如果您在遊戲開發廠商的 Facebook 網頁上按「讚」,他們就會提供一個密碼給你,該密碼可在特定的周末解開某些隱藏的資源。每周末都會換一組新的密碼,該密碼只在那二天有效。

 

如果您在遊戲開發廠商的 Facebook 網頁上按「讚」,他們就會提供一個密碼給你,該密碼可在特定的周末解開某些隱藏的資源
如果您在遊戲開發廠商的 Facebook 網頁上按「讚」,他們就會提供一個密碼給你,該密碼可在特定的周末解開某些隱藏的資源

繼續閱讀