開源軟件SecureUDID力圖解決蘋果UDID問題

UDID是蘋果設備的識別碼,比如iPhone或者iPad,每個設備的識別碼都是獨一無二的。六個月前隨著iOS 5系統的推出,蘋果公司原本打算逐步停止使用UDID,由於對UDID安全問題的爭議越來越多,蘋果於上週開始禁止對這串數碼進行訪問的應用上架。

可是現在許多應用大量使用UDID:有68%的應用在發送它們,這無疑給應用市場潑了一盆冷水。

一家為手機開發者提供軟件崩潰報告解決方案的公司Crashlytics最近發布了UDID的替代品SecureUDID http://www.secureudid.org/,據信可以解決有關UDID的隱私問題。

Crashlytics創建者之一的Jeff Seibe​​rt說,“蘋果可能根本沒考慮過UDID這個問題將會變得多麼普遍。當蘋果最早推出iPhone的時候,他們真的沒意識到UDID會成為一個安全問題。他們一直在用UDID來確定某台設備的唯一性,我不認為開發者或者蘋果曾預料到UDID的洩漏會帶來隱私問題。一部分開發者非常不負責任,它們不把UDID當做隱私看待,甚至明碼發送,或者存在數據庫裡,通過API或網站訪問這些數據都是公開的。”

UDID最大的問題是:它是唯一的值,就像身份證號碼一樣,你無法改變它。當蘋果宣布要逐步停止使用UDID時,別的公司都開始尋找別的辦法。 AppFire就是其中的第一批,它發布了一個開源的解決方案叫做“OpenUDID”。實際上Crashlytics公司的Sam Robbins就是作者之一。但一段時間過後,AppFire公司開始覺得OpenUDID也不是很適宜。



雖然像SecureUDID一樣,OpenUDID的用戶可以隨時退出,但OpenUDID有個默認假設:每個設備都有一個唯一的數字。所以它還是沒有解決信息洩露的問題:如果一個開發者洩露了你的OpenUDID,你還是會遇到蘋果UDID遭到洩露一樣的問題。另一個開發者拿到數據後,也能把數據和你的設備綁定在一起。

新的解決辦法SecureUDID仍然使得開發者有能力區分不同的設備,但對不同的開發者來說,同一台設備的UDID已經不再相同了。開發者可以通過自己的應用追踪用戶,但不同的組織之間已經沒法互相匹配數據了。

看上去這個方法的確解決了UDID相關的隱私問題,因為它不再是全球唯一的、對應於一個用戶的識別碼了。而且如果用戶完全不想被追踪到,他可以選擇關閉允許被追踪的選項。有趣的是,公司開發了一個iOS應用來管理這個過程,但還在等待App Store的核准通過。接下來這就要看蘋果認為這個新系統到底怎麼樣了。

對開發者來說,部署SecureUDID非常簡單,三行代碼足矣。這個項目是開源的,使用MIT開源協議,Crashlytics希望藉此吸引更多開發者社區的支持,也許甚至還包括Android的社區。

當然,SecureUDID並不是唯一的選擇。許多第三方解決方案也正在開發中,還有不少開發者開始使用MAC地址做識別碼。但是這些解決方案,特別是MAC地址方案,隱私洩露問題依然存在。

via TC

文章翻譯轉載tech2ipo.com.若需要轉載本文,請註明轉載自tech2ipo.

Comments are closed.