UDID : une liste à l'origine toujours inconnue

Florian Innocente |

La question de l'origine de la liste d'UDID supposée provenir d'un portable du FBI n'a toujours pas trouvé de réponse, après les communiqués successifs du FBI et d'Apple. Marco Arment, le développeur d'Instapaper se faisait l'écho d'une théorie, mais qui a ses failles, tandis que les Anonymous campent sur le scénario initial.

Arment relaie les réflexions d'un salarié, Bojan Gajic, d'une régie pub (Flux Ads). Celui-ci a retrouvé l'identifiant de son téléphone dans la liste des un million d'UDID mise en ligne (avec a priori 11 millions d'autres non révélés), ainsi que le "token" (ou "jeton" en VF) émis par une application (Glitter Draw) dont il avait accepté qu'elle lui envoie des notifications push.

« L'éditeur utilise apparemment son propre système pour les notifications push, plutôt que d'utiliser Airship urbain ou Xtify (des entreprises tierces qui gèrent cet aspect pour les développeurs d'apps, ndlr).

Au lancement, les applications envoient l'UDID, le jeton de confirmation de push et d'autres informations basiques à destination de l'adresse apns.spankapps.com. Glitter Draw ne peut avoir à elle seule 12 millions d'utilisateurs, mais son éditeur a 76 applications dont certaines ont figuré dans les sommets des classements d'iTunes et il pourrait facilement y avoir 12 millions d'utilisateurs cumulés pour toutes ces applications. Je me demande si la base de données à spankapps.com n'a pas été piratée et si cette liste ne vient pas de là.

D'aucuns ont alors fait remarquer que le jeton de push envoyé depuis l'iPhone (ou autre appareil) était le même, quelle que soit l'application dans laquelle on active cette fonction. Ce qui contrarie cette théorie concernant spécifiquement les applications de cet éditeur.

De leur côté, les Anonymous ont posté ce matin un nouveau long message sur ce sujet. Ils campent sur le scénario d'une implication du FBI, mais disent attendre leur heure pour dévoiler plus de détails. Ils s'en tiennent pour le moment à donner deux adresses IP - tronquées - et utilisées dans ce piratage.

Sur le même sujet :
- Apple réagit au piratage de 12 millions d'UDID
- Fichier d'UDID : le FBI n'a pas la « preuve » de son implication
- Une liste d'un million d'UDID iOS mise en circulation après un piratage

Tags
#UDID #piratage
avatar xservolle | 
Certains soupconnent OpenFeint qui de part son intégration dans de nombreux jeux donnerait toute latitude à la création d'une banque de données de taille respectable (ce dont il est question ici). Ensuite comment Antisec (ou quelqu'un d'autre) aurait eu accès à ces données, et quel est le lien avec le FBI ? Mystère.
avatar xservolle | 
J'avais aussi lû qu'il était fréquent de voir des UDID passer en clair dans le traffic de pas mal d'applis (il me semble que en gros 30 à 40% des applications jouent à ce petit jeu). Autant chercher une aiguille dans une botte de foin...
avatar Thib-76 | 
@treizep : Il me semble que meme si l'on refuse les notifications, un token est quand même crée
avatar xservolle | 
C'était une réponse pour Kanti99 j'imagine ;)
avatar Marksanders | 
@Kanti99 : tu as jailbreaké ?
avatar Marksanders | 
@Neyres : tant qu'il n'y a pas les mdp du compte... Pour le reste, de nombreuses régies pub ou de marketing ont sans doute ces informations et bien plus.
avatar PtitRital67 | 
Moi ce que je capte pas c'est pourquoi le FBI aurait autant d'infos d utilisateur français...
avatar PtitRital67 | 
@Neyres : le rapport avec le uuid ?
avatar Marksanders | 
@jodido : Français ou Chinois, tout est stocké au même endroit.
avatar PtitRital67 | 
@showmehowtolive : hein ?
avatar just-to-joke | 
Bonjour à tous... Est ce que quelqu'un pourrait m'expliquer concrètement ce que l'on risque à s'être fait pirater son UDID ? D'avance merci à qui prendra le temps de me répondre.
avatar Nathansatva | 
@iflo666 : Pas grand chose à ce que j'ai pu comprendre...
avatar Thib-76 | 
@iflo666 : Tu ne risque pas grand chose. Le problème c'est qu'apparemment il y a d'autre infos non devoilées en plus de l'UDID, du token et du nom du périphérique.
avatar just-to-joke | 
@mehdib92 : ok c'est bien ce qu'il me semblait.... L'UDID que dalle. Le problème reste les autres éventuels données. Merci a toi et @vanton.
avatar Roberto Alagnagna | 
Bon ok c'est moi. Je suis désolé.
avatar eipem | 
@wxcvbn22 : J'ai ri !

CONNEXION UTILISATEUR