Fuite d'UDID : et si la fuite provenait juste... d'une app ?
Par Didier Pulicani - Mis à jour le
Bureauainsi qu'Apple ayant démenti avoir un lien avec ce piratage de données, certains essaient de trouver une explication (tout autant qu'Apple, on l'imagine).
Bojan Gajic, de Flux Ads, a remarqué que son UDID était dans le fameux fichier, ainsi que son
token, cet identifiant créé par l'iPhone quand vous acceptez de recevoir des notifications. Ce dernier aurait été créé avec l'app
Glitter Draw Free, qu'il avait installée (et qui ne fait pas grand chose, à part un peu de dessin à l'écran).
L'éditeur utilisait apparement son propre "back end" pour les APNS et non à un service comme Urban Airship ou Xtify. L'app envoie l'UDID, puis le token et d'autres informations à apns.spankapps.com au démarrage. Glitter Draw seul, ne peut avoir 12 millions d'utilisateurs, mais son éditeur a 76 autres apps (Certaines étaient dans le Top AppStore, tel Finger Drums et Love Finger Scan), et il pourrait y avoir largement 12 millions d'utilisateurs avec toutes ces apps combinées.
Je pense que la base de données de spankapps.com a été piratées et que le dump a pu venir de là
Cette théorie est d'autant plus intéressante que les pirates n'ont pour le moment dévoilé qu'un seul million d'identifiants, sans données personnelles (prétextant les avoir anonymisées). Par ailleurs, jusqu'à présent, il était relativement facile, avec une app, d'obtenir toute le carnet d'adresse d'une personne, son numéro de téléphone ainsi quelques informations sur l'appareil.
NDLR : La théorie se tient, même si on a un peu de mal à comprendre comment l'auteur a identifié que le
tokenprovenait bien de l'app en question : cette fameuse
clefétant la même sur toutes les apps sur un même iPhone (comme l'UDID). Si des experts sont dans la salle, qu'ils n'hésitent pas à nous donner leur avis...