黑客表示：第三方 iOS 软件恐有泄漏手机 UDID / 识别码之疑虑

[RSS]

分类: 智能手机

苹果 iOS 部份『官方』软件搜集隐私数据所引起的讨论，在苹果跳出来说明以后，也算是平息了不少 iOS 使用者的疑虑；不过这方面的问题恐怕还没解决，因为就算官方有做好资安的控管，其它第三方软件开发者不见得有那个时间、技术成本去处理类似的问题，最近来自 Bucknell University 的网络管理主任，同时也是两届 DefCon 冠军的 Eric Smith 就对 iPhone 第三方软件可能造成的资安隐忧提出警告。

他直言苹果在官方软件、服务个资搜集过程中，采取让使用者手机、使用者本身相关信息随机化（也就是说回传的信息无法跟 任一个人、iPhone 手机连结）这类的步骤，似乎没有太多的第三方软件开发者有类似的处理，在从手机回传资料的过程，可能一并将使用者的个人信息、手机本身的识别码、手机的位置等，在没有安全保护的状况下一起回传到对应的数据库，而这中间就很有可能被有心人士所截取、利用。

根据 Smith 拿目前 57 个 iTunes 上头热门 App 所传送资料的研究结果，他发现有部份 App 会将 iPhone 的 UDID 识别码跟使用者的一些个人数据以纯文字内容挟带送出，而这些软件包括了 Amazon、Chase Bank、Target 及 Sam's Club 这些跟金流相关的服务提供者，其中有部份虽是有通过 SSL 加密来传输，但毕竟不是全部；UDID 识别码目前被广泛利用来储存一些个人信息及防软件的盗拷，Smith 担心有心人士可能通过这些信息（加上 GeoIP 等）来掌握个人的行踪，那对于个人隐私、人身安全可以说是莫大的威胁。

这时候如果有人要跳出来责备苹果，请先冷静，一如先前所言，软件开发者才必须要负起这方面的责任，因为苹果对于软件开发的规范当中，也有明文禁止软件在没有适当保护机制、让使用者了解这些信息的用途等状况下，软件不得要求、传送 UDID、账号信息等内容，而且使用者在提交任何的个人信息之前，也必须清楚软件开发者会拿这些信息拿干啥，换言之，如果使用者有疑虑，那一开始就尽量避免提交这些敏感的信息；未来苹果会不会针对这方面的问题更严格要求软件开发者，或是提供另一套解决方案，各位 iOS 的用家请密切注意后续的发展。

引用来源 | 此文章网址 | 转寄此文章 | 回应

---