黑客表示:第三方 iOS 软件恐有泄漏手机 UDID / 识别码之疑虑

标签: Eric Smith iPhone subjection to be leaked UDID | 发表时间:2010-10-05 20:00 | 作者:Casper Kao Linker Lin
出处:http://cn.engadget.com

分类:


苹果 iOS 部份『官方』软件搜集隐私数据所引起的讨论,在苹果跳出来说明以后,也算是平息了不少 iOS 使用者的疑虑;不过这方面的问题恐怕还没解决,因为就算官方有做好资安的控管,其它第三方软件开发者不见得有那个时间、技术成本去处理类似的问题,最近来自 Bucknell University 的网络管理主任,同时也是两届 DefCon 冠军的 Eric Smith 就对 iPhone 第三方软件可能造成的资安隐忧提出警告。

他直言苹果在官方软件、服务个资搜集过程中,采取让使用者手机、使用者本身相关信息随机化(也就是说回传的信息无法跟 任一个人、iPhone 手机连结)这类的步骤,似乎没有太多的第三方软件开发者有类似的处理,在从手机回传资料的过程,可能一并将使用者的个人信息、手机本身的识别码、手机的位置等,在没有安全保护的状况下一起回传到对应的数据库,而这中间就很有可能被有心人士所截取、利用。

根据 Smith 拿目前 57 个 iTunes 上头热门 App 所传送资料的研究结果,他发现有部份 App 会将 iPhone 的 UDID 识别码跟使用者的一些个人数据以纯文字内容挟带送出,而这些软件包括了 Amazon、Chase Bank、Target 及 Sam's Club 这些跟金流相关的服务提供者,其中有部份虽是有通过 SSL 加密来传输,但毕竟不是全部;UDID 识别码目前被广泛利用来储存一些个人信息及防软件的盗拷,Smith 担心有心人士可能通过这些信息(加上 GeoIP 等)来掌握个人的行踪,那对于个人隐私、人身安全可以说是莫大的威胁。

这时候如果有人要跳出来责备苹果,请先冷静,一如先前所言,软件开发者才必须要负起这方面的责任,因为苹果对于软件开发的规范当中,也有明文禁止软件在没有适当保护机制、让使用者了解这些信息的用途等状况下,软件不得要求、传送 UDID、账号信息等内容,而且使用者在提交任何的个人信息之前,也必须清楚软件开发者会拿这些信息拿干啥,换言之,如果使用者有疑虑,那一开始就尽量避免提交这些敏感的信息;未来苹果会不会针对这方面的问题更严格要求软件开发者,或是提供另一套解决方案,各位 iOS 的用家请密切注意后续的发展。

引用来源 | 此文章网址 | 转寄此文章 | 回应

相关 [黑客 ios 软件] 推荐:

黑客表示:第三方 iOS 软件恐有泄漏手机 UDID / 识别码之疑虑

- Linker Lin - Engadget 中国版
他直言苹果在官方软件、服务个资搜集过程中,采取让使用者手机、使用者本身相关信息随机化(也就是说回传的信息无法跟 任一个人、iPhone 手机连结)这类的步骤,似乎没有太多的第三方软件开发者有类似的处理,在从手机回传资料的过程,可能一并将使用者的个人信息、手机本身的识别码、手机的位置等,在没有安全保护的状况下一起回传到对应的数据库,而这中间就很有可能被有心人士所截取、利用.

iOS上的OCR软件TextGrabber

- Webto - 大鱼若智,大智若鱼
就在我写完上一篇关于读书笔记的Blog之后,我迅速而及时地发现了一款OCR大厂的产品. 昨天我闲来无事在App Store里闲逛,忽然发现了ABBYY(中文名叫做“泰比”,有兴趣可以访问 abbyy.cn )的名字,它不久前(6月2日)推出了一款名为“ABBYY TextGrabber”的软件. 跟中国的汉王一样,这家总部位于莫斯科的公司拳头产品就是光学识别(OCR, Optical Character Recognition)技术.

iOS黑客Comex答记者问

- Raining - cnBeta.COM
数次越狱iOS系统的著名黑客Comex今天就有关他与苹果的关系问题、接下来他想做的事情以及JailbreakMe网站的现状走向问题回答了记者的提问. Comex明确表示不会停止对iOS越狱的关注,即便是不再从事破解,也将把相关的事务转交给有能力的团队. 以下是采访全文,由randle翻译:.

iOS越狱大会 众黑客分别透露iOS越狱不间断

- 牛牛 - cnBeta.COM
首个专门JailBreak的黑客大会MyGreatFest开始了. 打头阵的是著名JB界黑客P0sixninja的演说,他表示已在iPad的2甚至 iPhone 5的找到5个漏洞. 这是破纪录的漏洞数目,只要使用当中的1个即可实现JB. 由于这次找出来的漏洞是用户态(即无视硬件,只要固件漏洞 没有被修正即可在任何的iOS装置使用).

黑客开发iEmu欲使Android等模拟运行iOS应用

- zhipeng - cnBeta.COM
据国外媒体报道,一群早期的iPhone黑客目前正在打造一个名为iEmu的项目,这个项目致力于使Linux、Windows、Mac和Android可以模拟运行iOS应用. 据悉,这个项目建立在开源模拟器QEMU的基础之上,项目负责人,同时也是参与早期iPhone越狱破解的克里斯・韦德(ChrisWade)表示,希望能完全模拟iOS应用在iPad第一代和iPhone4A4CPU上的运行状态.

iPhone Settings Shortcuts – iOS 上必不可少的可视化 Widgets | 小众软件 > iOS

- Stephanie - 小众软件
当我每次拿着 iPhone 进入 Starbucks,拿着咖啡的同时要单手调个音量,或是要在设置的一堆鸟语中(为了平时装B,我把语言全设成了西班牙语)切换 3G 和 WIFI ,我就想喊救命. 没错,Settings 就是整只 iPhone 里我最讨厌的 App. 幸好有 Jeff Broderick 开发的 iPhone Settings Shortcuts (beta),让设置中的常见功能通通变成可视化快捷方式.

越狱黑客小组表示已成功完美越狱iOS 5

- SUN - cnBeta.COM
早阵子,传出越狱创始人comex 被苹果招安,在苹果 当个实习生,很多人也认为这是"越狱"走向“末日”的征兆. 不过今天早上传来了好消息,greenpois0n 的研发者 pod2g 表示,已经已有两队团队,包括 iPhone Dev-team 及 Chronic Dev-team 正在研发 iOS 5 beta 7 的 完美越狱,并声称已取得成功.

美黑客放出iOS 5越狱程序 不支持iPad2和4S

- 肥恩 - cnBeta.COM
看来苹果公司与越狱开发者的猫鼠游戏在iOS 5时代仍将延续,在苹果发布iOS 5操作系统后不到24小时,美国著名黑客团队iPhone Dev-Team就发布了iOS 5越狱程序,目前这一越狱程序还不是最终版本,暂时并不支持苹果iPad 2和最新发布的iPhone 4. 越狱苹果设备在美国是完全合法的,通过越狱,用户可以在iPad和iPhone上实现诸多原本被苹果屏蔽的功能.

Applist.me – iOS App 网络列表 | 小众软件 > 在线应用

- 亚 强 - 小众软件 - Appinn
东方二狗“过早”接触了 Apple 产品,近来有越来越多的人来问:“我刚买了 iPhone/iPod/iPad,应该装什么软件/给推荐几个软件吧/听歌用什么/看漫画用什么. ”等等等等诸如此类重复性大技术含量低的问题. 二狗想省点口水,发现 Applist.me 是 iOS 用户们的福音. Applist.me 可扫描用户电脑 iTunes 中所有 App,生成列表发布到网上,还直接提供短链接便于分享.