UDID入門:了解Apple的資料外洩狀況

 當前一陣子出現了一百萬筆Apple UDID被駭客激進份子竊取的消息傳出後,使用者驚慌失措:什麼是UDID?個人識別身份資訊要怎麼經由UDID洩漏?我該如何保護我的個人識別資訊?

 

 什麼是UDID?

 UDID本身只是一段冗長的字串,是所有iPhone、iPad和iPod Touch的唯一序號,由長長的一串數字和字母所組成。因此,它對駭客來說幾乎是無用的,也不會影響到使用者的隱私或安全。直到最近讓開發者可以在未經使用者許可下自由的收集,使得開發者和他們的合作廣告網路可以追踪安裝應用程式的族群並監控使用狀況,提供針對性廣告或提升使用者體驗。

 個人識別資訊要如何跟UDID連結?

 在收集UDID時,許多蘋果開發者會將匿名UDID字串代碼儲存在資料庫中,還加上了開發者同樣從應用程式擷取來的裝置擁有者的個人識別資訊。這也是為何應用程式開發者 – BlueToad可以去建立一個龐大的UDID和個人資料(如使用者姓名、個人郵件地址和電話號碼)的資料庫,原本被駭客錯誤的認為是來自「FBI外洩」的資料。一旦結合這些額外的個人資訊, UDID就可以提供網路犯罪份子一個寶庫用來進行個人詐欺、網路詐騙等活動,或用來幫忙破解其他更有價值的使用者帳號。

 我該如何在這類型風險下保護自己?

 壞消息是,沒有辦法知道誰存取過你的UDID,也沒有辦法防止它落入壞人之手。在這由iOS開發者、發行商、廣告網路和其他第三方團體所組成的Apple複雜生態環境中,你的UDID可能已經被分享給太多外部團體了,特別是如果你超喜歡玩應用程式的話。這件事本身並沒有太大問題,真正的問題是開發者所建立的資料庫會綁定這個產品的唯一識別碼和你的個人資料。你可以在出現警告時試著限制授權給開發者的資訊,安裝應用程式前先讀一讀那幾行小字,仔細檢查每個應用程式所要求的權限。但是,在許多狀況下,資訊已經存在那裡了,如果黑客知道要去哪找,最終就是會落入壞人之手。

 好消息是,Apple嚴格的應用程式商店審核小組已經開始拒絕新的應用程式去要求UDID,而且昨天所介紹的新iOS 6作業系統也會用一套新的API來取代UDID,這也是Apple朝向完全不使用這組數字的不久將來所踏出的第一步。

 對於那些已經受到影響或是關心UDID使用的人,主要問題是UDID依然存在,這個龐大資料庫的資訊還握在第三方開發者手上。就這一點而言,唯一可以讓你變換代碼並且重新開始的方法只有買支新手機,然後在選擇要分享哪些資訊給應用程式時更加小心。

 

@原文出處:UDID Primer: Breaking down Apple’s leaky situation作者:Erica Benton

  

◎延伸閱讀