长期以来，安全专家和隐私保护组织一直批评苹果决定为其移动设备分配名为udid的永久唯一标识符。周二，匿名黑客组织AntiSec公布了一份100万个设备ID的名单，据称是从一名FBI特工笔记本电脑上发现的未加密文件中提取出来的，这些批评人士的担心由此而来。

安蒂斯克公布身份证的目的是揭露联邦调查局一开始就有身份证。但是，由于真正的信息来源现在陷入僵局（苹果否认交出了身份证，联邦调查局声称它从一开始就没有这些身份证），更紧迫的问题是udid到底是如何使iOS设备所有者的隐私和安全受到威胁的——以及他们是如何不这样做的。

利维坦安全公司（Levithan Security）首席执行官弗兰克•海德特（Frank Heidt）最近在CNET上发表文章称，通过UDID、推送令牌和设备名称，攻击者“可以任意在你的**上加载应用程序。”但CrowdStrike的高级工程师亚历克斯•拉多西亚（Alex Radocea）表示，事实并非如此。

“有很多误传。”

“有很多错误的信息，”拉多卡在电话里告诉《边缘报》。就在Antisc公布他们的设备ID清单时，他和他的团队公布了他们对iOS版FinSpy Mobile的检查结果，这是一款臭名昭著的FinFisher间谍软件，最近被发现针对政治异见人士。

CrowdStrike在报告中指出，该间谍软件使用的是ad-hoc分发，这是一种通常保留用于测试的方法，使用UDID绕过苹果的应用程序签名过程。但这并不意味着UDID是在用户不知情的情况下在设备上远程安装恶意软件的灵丹妙药，Radocea说。

他澄清说：“主要是安装这些应用程序需要用户交互。”正如CNET的文章所宣称的那样，它们不能被悄悄地或任意地安装，“在antic发布的新闻热播后不久，ACLU在一篇博客文章中同样暗示udid可以被用来秘密地感染带有间谍软件的设备。

在FinSpy的例子中，即使它的过滤有效负载以其他方式加载到设备上，他们观察到的唯一样本——由多伦多大学的公民实验室提供——还没有完全“武器化”，这意味着它缺少从设备获取内核访问和泄漏数据所需的特权提升漏洞。不过，CrowdStrike表示，间谍软件的“武装”样本很可能存在于野外某处，并敦促任何知情者与之联系。

Radocea说：“沙盒不容易走出，”他指的是苹果用来让应用程序远离系统其他敏感区域的第三方应用程序包装所以事实是UDID本身并没有买那么多。只是能够创建一个临时应用程序。”

udid可以用来查找姓名、人口统计信息、地理位置等等

udid是持久的、软件可读的序列号，硬嵌入ipad和iphone等iOS设备中。它们本身只是由40个字母数字字符组成的看起来无害的字符串，但研究人员过去已经证明，它们被滥用的时机已经成熟，可以被利用来查找姓名、人口统计信息、地理位置等等。

总部设在新西兰的安全研究人员奥尔多·科尔特西（Aldo Cortesi）在这一问题上的表态尤其强烈。去年，他演示了UDID如何通过对社交游戏平台OpenFeint进行未经验证的API调用来获取GPS坐标，甚至Facebook个人资料链接。后来，他发现甚至可以使用udid来接管OpenFeint、Zynga和其他社交游戏平台上的用户帐户。

潜在的问题是，一旦udid在野外出现，摆脱它们的唯一方法就是购买新设备。其他平台如Android的设备id在工厂重置后会发生变化。但苹果的udid是持久性的，如果用户的id被泄露，这些设备的用户将无法更改或删除它们。

一旦udid出现在野外，摆脱它们的唯一方法就是购买一台新设备

奇怪的是，这些问题早在1999年英特尔奔腾III芯片发布时就出现了。这些芯片带有一种类似的持久标识符，在消费者和隐私团体向联邦贸易委员会投诉后，英特尔后来禁用了这种标识符。

苹果和OpenFeint也因此面临一系列（短暂的）集体诉讼。作为回应，苹果已经明智地开始禁止**应用和游戏阅读它们——但在广告商和其他不择手段的第三方之间大量交易大量udid之前。

2010年的一项研究发现，当时App Store两大类中68%的应用程序正在读取设备所有者的UDID，并在未经用户知情或同意的情况下将其以明文形式传输给第三方服务器。Cortesi编写了一个中间人工具来展示这个过程，允许用户实时观看告密应用程序通过HTTP流量向第三方发送UDID和其他数据。这些应用程序收集了如此多的数据，以至于一个貌似合理的理论认为反C转储的内容可能指向一个共同的罪魁祸首。

好消息是，在回应这一泄密事件时，苹果表示，在iOS6中，UDID将被一套新的API所取代。但既然它们不会完全消失，你还是应该检查一下你的设备的ID是否被泄露了。