Sanning och myt om UDID

Ett UDID-nummer är ett unikt nummer som identifierar just din telefon, iPod Touch eller iPad. Det kan liknas vid det MAC-nummer som din dator har via sitt nätverkskort.

Det är vad ett UDID-nummer är.

Säkerhetsrisk

Av samma skäl så kan ett UDID-nummer vara en säkerhetsrisk och av samma skäl så kan det också vara tämligen ofarligt och harmlöst. Med UDID-nummret så skulle du kunna fråga runt, via olika API, och plocka in mer information om innehavaren och ägaren till en enhet. Utöver det så skulle information kunna plockas ut, sammanställas via andra olika mer eller mindre sannolika scenarier.

Det som däremot inte låter sig göras är att installera spyware på din enhet, ta över den enhet eller stjäla information från den. Något som mer än en okunnig artikel ute på nätet har antingen påstått det direkt eller antytt.

Du kan inte ta över, installera eller ta dig runt det skydd som finns i en oknäckt iOS-enhet bara genom att veta dess UDID-nummer lika lite som att du kan göra det genom att veta en dators IP-nummer.

Din iOS-enhet, förutsatt att du inte varit så dum så att du knäckt den, innehåller så kallad sandbox-teknik. Enkelt uttryckt så innebär det att varje app sitter ensam och isolerad i sin egen sandlåda. Det är ingen enkel operation att försöka ta sig runt detta skydd och du gör det sannerligen inte med hjälpt av ett UDID-nummer.

Okunnigt

"For example, prior knowledge of a device’s UDID is required for government agencies that wish to infect a particular surveillance target’s iOS device with the FinFisher mobile spyware tool.", skriver American Civil Rights Union, ACLU, och antyder därmed att du skulle kunna installera spyware med hjälp av UDID-numret.

Det är en lika klumpig som okunnig formulering och ACLU utelämnar helt det högst väsentliga faktum att du dessutom måste hitta ett säkerhetshål för att kunna ta dig runt de säkerhetslösningar och skydd som en knäckt iOS-enhet innehåller.

"People on the list could be targets for phishing attacks based on the information on the list and even more at risk if someone did a little bit of digging.", skriver CNet i en av sina artiklar.

Det CNet inte tydligt säger är att det i så fall inte har enbart med UDID-numren att göra utan med det faktum att det också fanns namn, epostadresser och annan information om den information som påstås ha stulits från FBI. För att vara tydlig - UDID-numren i sig är inte problemet här. Det är all annan information som någon, oklart vem, har samlat in.

Problemet med UDID

Nu ska också understrykas att jag inte försöker sopa problemet med UDID under mattan, bara ge de senaste dagarnas rapportering lite behövlig nyansering. Det finns ett problem med UDID och jag har full respekt för de som tycker att det inträffade är obehagligt men tro inte att okända kan installera vad som helst på din telefon, din iPod eller iPad. Det finns ett uppenbart problem i och med att infomation kan samlas in och sammanställas men det kan du faktiskt göra utan ett UDID-nummer också.

Det är klart att det är oroväckande om ett UDID-nummer kan länkas ihop med positionsdata men är det mer oroväckande än att du kan följas via Facebook, Instagram eller Foursquare?

Apple har valt att använda ett unikt ID-nummer i sina enheter för att de ska kunna ta emot meddelanden, Push Notifications, för att de ska kunna ta emot iMessage-meddelanden och annan data. Rätt eller fel kan naturligtvis diskuteras men ett UDID-nummer utgör inte den säkerhetsrisk som en del försökt göra gällande de senaste dagarna.

Kommentar

blog comments powered by Disqus