Половина iOS-приложений раскрывают UDID серверу

Никита Горяинов avatar | 40
FavoriteLoading В закладки
Половина iOS-приложений раскрывают UDID серверу

Мобильная операционная система от Apple по праву считается самой защищенной из всех ныне существующих аналогов. Не последнюю роль в этом сыграла её закрытость, соблюдаемая купертиновцами в любой мелочи. Но если говорить о конфиденциальности пользователя, то тут всё не так радужно.

Согласно свежеопубликованным данным, 68% приложений из категорий App Store «Most Popular» и «Top Free» (всего — 57 приложений) так или иначе отправляют на сервер разработчика UDID-номер iДевайса. Это уникальный идентификационный номер устройства, применимый только к разработкам из Купертино. На первый взгляд это не так опасно, ведь, к примеру, наши с вами IMEI «светятся» у оператора регулярно.

Однако Эрик Смит (Eric Smith), двухкратный чемпион известного хакерского соревнования Defcon, считает иначе:

Большинство приложений для iPhone отправляют и сохраняют на удалённом сервере не только UDID, но и некоторую другую информацию (к примеру, регистрационную — Прим. автора). Сопоставив и то, и другое, можно определить с высокой точностью личность владельца смартфона.
— Эрик Смит

К чести некоторых разработчиков, 18% из проверенных приложений шифруют передаваемые на сервер данные, предотвращая возможность перехвата персональной информации злоумышленниками. Так или иначе, перед нами очевидный недостаток существующей системы работы приложений на iOS. И всё равно его нельзя назвать по-настоящему крупной брешью в безопасности устройств Apple. «Слитый» UDID на сервер разработчика по своей вредоносности не выдерживает сравнения с порно-троянами и бот-сетями для Android. [appleinsider]

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Мобильная операционная система от Apple по праву считается самой защищенной из всех ныне существующих аналогов. Не последнюю роль в этом сыграла её закрытость, соблюдаемая купертиновцами в любой мелочи. Но если говорить о конфиденциальности пользователя, то тут всё не так радужно. Согласно свежеопубликованным данным, 68% приложений из категорий App Store «Most Popular» и «Top Free» (всего...
Прокомментировать

🙈 Комментарии 40

  1. Ge0rge avatar
    Ge0rge5 октябрь 2010
    0

    Тоже мне брешь…
    Еще бы боялись того, что разрабы узнают цвет и модель девайса – какой ужас ))) лол ей богу!

  2. freeware avatar
    freeware5 октябрь 2010
    0

    пофиг
    наш фюрер нас в обиду не даст!1

  3. DemonSoftII avatar
    DemonSoftII5 октябрь 2010
    0

    Вопрос не по статье, а по ее содержанию. Почему авторы этого ресурса регулярно называют коммуникатор iPhone сматфоном? Это как называть iPad – ридером. Есть вполне определенные характеристики для причисления устройства к той или иной группе. У смартфона возможности навигации ограничены аппаратными клавишами – ни о каком Touch речи идти не может. Для еще большей картины сравните версии Windows Mobile и Windows Smartphone. iPhone – полноценный коммуникатор!

  4. Никита Горяинов avatar
    Никита Горяинов5 октябрь 2010
    0

    DemonSoftII,
    А не наоборот? ;)

    Nokia Communicator — пример коммуникатора.
    Wiki — статья про смартфоны с их определением.

  5. KOMEHTATOP5 октябрь 2010
    0

    эм,вообще то айфон без джейла-телефон,давай право называться смартфоном/кпк/коммуникатора,телефону дает открытая ФС,а как мы знаем на айфоне без джейла ни о какой открытости фс не может быть и речи

    ЗЫ: даже джобс называется айфон телефоном,да и из названия вроде ясно iPHONE

  6. D_Cullen avatar
    D_Cullen5 октябрь 2010
    0

    Нене, это “революционный мобильный телефон, шикарный айпод с тач-дисплеем и интернет-коммуникатор” (кто не верит, качаем презентацию Keynote 2007 года ;) )

  7. DemonSoftII avatar
    DemonSoftII5 октябрь 2010
    0

    Запустите Windows Mobile for Smartphone – и Вы сразу же поймете разницу между смартфоном и коммуникатором. А именно благодаря этой системе эти понятия стали нести в себе разный смысл. Ну а про валидность википедии – сами понимаете, много уже говорили.
    Собственно, я программировал под все это, потому и уверен в своих словах.

  8. D_Cullen avatar
    D_Cullen5 октябрь 2010
    0

    Хотя слово “смартфон” в тот день тоже звучало, так что ломайте головы :)

  9. KOMEHTATOP5 октябрь 2010
    0

    давать*

  10. enshyou5 октябрь 2010
    0

    А push-уведомления адресуются конкретному телефону не по UDID? Кто знает?

  11. k214-raZor avatar
    k214-raZor5 октябрь 2010
    0

    KOMEHTATOP, чушь несете, причем здесь открытая система и смартфон? 90% пользователей вообще не волнует какая там система (многие даже не знают что это) Главное функционал устройства, а айфон и без джейла очень функционален.

  12. k214-raZor avatar
    k214-raZor5 октябрь 2010
    0

    enshyou, пуш сообщения адресуются по сгенерированному сертификату ключу, который создается при активации аппарата. UDID тут не причем.

  13. KOMEHTATOP5 октябрь 2010
    0

    k214-raZor,а где я говорил про ОТКРЫТОСТЬ СИСТЕМЫ? я говорил про открытость ФАЙЛОВОЙ СИСТЕМЫ,вон смартфоны на симбиане,называются смартфонами,у них тоже закрытая ос, но фс открытая

  14. Ge0rge avatar
    Ge0rge5 октябрь 2010
    0

    KOMEHTATOP
    Скажите, а что вам лично дает открытость файловой системы? Кроме возможности заныкать поглубже в недры девайса фото своей обнаженной подружки ))
    В целом и общем гениальность иОси заключается в том, что из мобильного устройства было убрано миллион ненужных атавизмов платформенной оси, при этом сохранив и разнообразив функционал устройства програмным путем.
    А айфон с джейлом – девайс для ворованного софта и софта

  15. Ge0rge avatar
    Ge0rge5 октябрь 2010
    0

    Сделанного на коленке. Чем сидия со сами платным разделом отличается от апстора – глюками.

  16. SAKrisT avatar
    SAKrisT5 октябрь 2010
    0

    Что за бред!
    Еслиб было опасно распространять UDID, думаю его бы не давали стандартными апами. Это можно сказать единственная фича за которую можно зацепиться на данном аппарате! А насчет ананимности тоже бред! В остальные ос не отправляют данны на другие сервера…

  17. KOMEHTATOP5 октябрь 2010
    0

    Ge0rge,
    блин мне это ничего не дает,я просто о том что айфон не может называться айфоном без открытой фс

    и еще айфон с джейлом девайс для ворованного софта,у школоты, у меня айфон с джейлом по 3ем причинам:
    1)анлок
    2)Cydia
    3)Отчет о доставке смс

  18. KOMEHTATOP5 октябрь 2010
    0

    “…не может называться айфоном”
    смартфоном*

  19. )I(yk avatar
    )I(yk5 октябрь 2010
    0

    напишите новость
    http://lenta.ru/news/2010/10/05/apple/

  20. sashmash avatar
    sashmash5 октябрь 2010
    0

    А почему вы считаете UDID персональными данными? UDID используется ровно из-за того, что он не несет никакой информации о владельце и не имеет никакого отношения к персональным данным.

  21. spfl4 avatar
    spfl45 октябрь 2010
    0

    на то

  22. spfl4 avatar
    spfl45 октябрь 2010
    0

    на той же мотороле типа L7 можно было ФС открыть, и это ну ни с какого боку смартфоном ее не делало =\

  23. Артур Малосиев avatar
    Артур Малосиев5 октябрь 2010
    0

    Ну и что с UDID делать потом?

  24. whiteline avatar
    whiteline5 октябрь 2010
    0

    скажите же чёнить про джейл! уже начинаю жалеть, что купил айпад *WALL*

  25. Burzum avatar
    Burzum5 октябрь 2010
    0

    “Мобильная операционная система от Apple по праву считается самой защищенной из всех ныне существующих аналогов.”
    “«Слитый» UDID на сервер разработчика по своей вредоносности не выдерживает сравнения с порно-троянами и бот-сетями для Android.”

    Первый и последний абзацы просто убили :D Про удалённый джейл автор уже забыл? :D Дыры таких размеров в ОСях надо ещё поискать. Только микрософт позволяли себе так лажаться.

  26. Burzum avatar
    Burzum5 октябрь 2010
    0

    Артур Малосиев
    Ну и что с UDID делать потом?

    Тоже думаешь, что новость ни о чём?

  27. Артур Малосиев avatar
    Артур Малосиев5 октябрь 2010
    0

    Burzum, я тебя вылечу. В течение месяца ты жаловался на головную боль от непонимания сути новостей и всячески это демонстрировал непотребным образом. Сегодня пришло лекарство. Сильнодействующее.

    Из-под твоего постоянного IP=62.117.115.*** сайт теперь открываться не будет. Поздравляю, теперь ты свободный человек.

  28. BurzumII avatar
    BurzumII5 октябрь 2010
    0

    Артур Малосиев, разблокируй айпишник, знаешь же, что не панацея. Больше не буду заходить и отписываться, раз здоровая критика не воспринимается нормально.

    зы. Ни одного отрицательного отзыва не оставлял к статьям Романа Юрьева, так что проблема не во мне, а в некоторых авторах.

  29. sputnik avatar
    sputnik5 октябрь 2010
    0

    Burzum

    это как во властелине колец: “а че они штурмуют ворота когда сбоку вход есть? – а это не вход, это выход” ))

  30. JaveLiner avatar
    JaveLiner5 октябрь 2010
    0

    1. Кому сдался мой UDID? Информации о рамере моего МПХ и адресе, по которому можно это выяснить, UDID не несет. А вот то, что абсолютно любой браузер передает IP машины/подсети/прокси) – это, как бы, не персональные данные, ага. И по IP адрес юзверя не узнать.
    2. Смарт/не смарт, джейл/не джейл… Какая разница, открыта ФС или нет? Не нравится iOS с ее особенностями – валите на WinMo или андроид. Там пихайте свои файлы хоть в системные папки. Только потом не орите, что ничего не работает. Человек, который не разбирается в особенностях ФС, может такого наворотить с этой самой ФС, что потом удивляешься, как оно до сих пор работает. Среди моих друзей тому примеров масса.
    Да и зачем далеко ходить? Моя жена пользуется Самсунгом Омния (WiTu). И закачка музыки в тело до сих пор вызывает у нее (и у меня) тонны ненависти и лютый баттхёрт. Не проще ли тыкнуть пальцем в экран, и сказать “хочу эту песню в телефон”, как это реализовано в Тунце? И, поверьте, лично мне по барабану, где там что в телефоне у меня лежит. И я хочу видеть качественные игры и программы, а не х**ню, собранную на коленке, коими полон рынок WinMo.
    Ваша славная сидия тоже давно превратилась в аналогичную помойку свистелок и перделок сомнительного качества. К тому же, с непроверенным кодом. А еще умиляет количество обоин, вываливаемое в сидию ежедневно и вызывеющее ступор тела при обновлении баз.
    3. Про патенты. Скоро пёрнуть нельзя будет, потому что на это у кого-то уже есть патент.
    Я не за открытость платформ или копипасту в кодах (Боже упаси. Проприетарные разработки спасут мир от убогого кода убогих задротов, которые по ночам сидят дома и пишут очередную глючную свистоперделку за “спасибо”). Я за здравый смысл. Ну скажите, какая разница, каким образом тело выводит иконку на экран? А вот нет. Убогие мелкие фирмы срут кирпичами и производят эпичные вбросы дерьма на вентиляторы по поводу того, что злой дядя Стиви, например, у своих иконок делает скругленные края. Как же так! Нам эта идея приснилась в горячечном бреду еще тринадцать лет назад! Мы же это, никому не сказав, запатентовали! И только мы имеем право рисовать скругленные углы на иконках! Только мы этого не делаем. Но бабла ни за что срубить хотим!

    Alles…

  31. freeware avatar
    freeware5 октябрь 2010
    0

    >по IP адрес юзверя не узнать

    да ну нафег О_О

  32. S-T avatar
    S-T5 октябрь 2010
    0

    freeware сказать? в гости зайдешь?

  33. Moonwind avatar
    Moonwind5 октябрь 2010
    0

    Особо умные проги сливают инфу о местоположении, марка аппарата, ип, оператор, во сколько запустил прогу, сколько её юзал и тп.

  34. VITL avatar
    VITL5 октябрь 2010
    0

    too S-t

    А зачем в гости то сразу? Но выяснить можно:

    1. Берется ip пробивается допустим через whois
    2. из 1 пункта узнается кто твой пров
    3. запрос прову кому был выдан такой ip(и даже если он у тебя динамический и сидишь ты через 1 внешний логирование ведется)
    4. вуаля адрес твой известен
    5. profit

    з.ы. ну а то что простым смертным пров инфу не скажет это уже совсем другой разговор

  35. kuraev avatar
    kuraev5 октябрь 2010
    0

    VITL, ибо живем мы в России матушки, скажут или не скажут, определяет мотивация и толщина кошелька :))

  36. VITL avatar
    VITL5 октябрь 2010
    0

    либо связями там ^

  37. Ge0rge avatar
    Ge0rge6 октябрь 2010
    0

    to JaveLiner
    Даже и добавить нечего. Просто притча во языцэх! ))
    Подписываюсь и .

  38. S-T avatar
    S-T6 октябрь 2010
    0

    VITL вот то-то и оно…
    Как страшно жить…

  39. JaveLiner avatar
    JaveLiner6 октябрь 2010
    0

    to Ge0rge, как-то накатило)))

    to freeware, это тонкий юмор из сортира (в смысле, “и сатира”).

  40. dwht avatar
    dwht6 октябрь 2010
    0

    “Артур Малосиев
    5.10.2010, 15:14

    Ну и что с UDID делать потом?”

    А делать много что с ним можно, как пример уникальная идентификация пользователя, прозрачная для него. То есть ему не надо заполнять регистрационных форм и авторизоваться на сервере. Сервер проверяет все сам по UDID.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь