当前位置:爱活网 Evolife.cn > 爱手机 > 正文 >

黑客:iPhone第三方程序窥探UDID 严重威胁隐私

日期:2010-10-04 23:46:25 作者:爱活临时工 来源:爱活网 评论(0)

很多人可能还对1999年英特尔的那块特别版奔腾3处理器记忆犹新,英特尔给每块奔腾3处理器内置了一个唯一的“识别序列号(PSN)”,厂商可以依据此序列号识别用户在系统上安装的任何软件。此决定一出,业界哗然,用户隐私保护团体、安全专家甚至不少国家的政府一起抨击这项功能并向英特尔施压,最终,英特尔在奔腾3上放弃了这项功能,并宣布将永不再推出类似的功能。

然而,在10年后,用户隐私安全得到高度重视的今天,苹果的iPhone手机却很有可能重蹈英特尔奔腾3当年的覆辙。

黑客:iPhone第三方程序窥探UDID 严重威胁隐私

除了手机序号之外,每台iPhone和iPod Touch都另有一组独一无二的号码,称之为识别码(Unique Device Identifier, UDID )。苹果设立UDID的初衷是打击盗版程序,并为每台iPhone提供一个识别身份用的“身份证”。在苹果的开发者手册中提到,每个iPhone开发者只需缴交99美元年费,就可以得到100个beta test名额。有意成为beta tester的人,只需向开发者提交UDID,经过输入及制成一个描述档之后,该手机就可以使用由同一开发者所制的所有软件。这让程序获取用户的UDID 变得名正言顺。

黑客:iPhone第三方程序窥探UDID 严重威胁隐私
一个典型的应用程序和远程服务器跟踪UDID过程

平常用家无需接触UDID是事实,但iPhone的应用程序或多或少都会和UDID有关。例如HeyWAY座标传送软件、World War游戏软件等都是不用登入就能读取信息,都是因为软件靠UDID来决定用身份,虽然方便,但缺点也由此而生。

据国外媒体报道,美国宾夕法尼亚州Bucknell大学的网管Eric Smith最近发现,iPhone手机的UDID可以被第三方程序自由的获取、传送。结合一些常见的软件,用户的隐私信息很有可能轻易被暴露。

黑客:iPhone第三方程序窥探UDID 严重威胁隐私
美国广播公司(ABC)的新闻应用程序会发送你的UDID到远程主机

虽然职位仅仅是大学网管,但Eric Smith可不是等闲之辈,他曾在顶级黑客大会DefCon上获得过两次CTF攻击比赛冠军(国外的大学网管都是怪物么?)。为了确定它的担心是否属实,Eric Smith和一群安全专家一起研究了苹果App Store里数十个最受欢迎和分享率最高的程序,结果发现,有68%的程序在安装时要求向远程服务器传送用户的UDID,其中包括亚马逊、大通银行和山姆会员店这样的知名客户端。只有14%的程序发出的申请看起来不那么有害。另有18%的程序对其通信进行了加密,不清楚它们进行了何等程度的用户信息共享。此外,Eric Smith和其它研究人员还发现,一些应用程序能把iPhone的UDID和用户在真实世界的身份对应起来。

让Eric Smith和其它研究小组成员恐惧的是,恶意的组织可以通过这种途径轻易的收集用户的隐私信息,例如电话、邮件、信用卡账号,甚至可以通过手机上的GPS定位用户所在地的坐标。

黑客:iPhone第三方程序窥探UDID 严重威胁隐私
GeoIP正在使用的iPhone查找一个餐厅

黑客:iPhone第三方程序窥探UDID 严重威胁隐私
GeoIP正在使用iPhone的WiFi连接查找另一个餐厅

黑客:iPhone第三方程序窥探UDID 严重威胁隐私
实例:一个应用程序在启动过程中要求iPhone分享你的GPS坐标

这是一个可怕的想法,想想吧,你的手机号,你在iPhone上发的的邮件,你用iPhone上网时登录的信用卡账号,一切都能和UDID一一对应。甚至只要你带了iPhone在身上,你每时每刻的位置都有可能处于严密的监视之中。

PS,要查看自己iPhone的UDID一点也不难,把你的手机连接上iTunes,在你选定的手机装置页面上就会出现序列号信息。点击一下序列号,UDID即刻浮现在你面前。

登录iTunes就能看到你自己的UDID
各位iPhone用户可以试试登录iTunes看看自己的UDID

(编辑:来不及思考)
网友评论(共 - 条)
正在加载评论...
用户名: 同时发布到新浪微博登陆新浪微博