Defectul AirDrop vă arată numărul de telefon și adresa de e-mail

Defectul AirDrop vă arată numărul de telefon și adresa de e-mail

acea Airdrop Bug-ul înseamnă că a nu face altceva decât să deschideți panoul de partajare iOS sau macOS în raza Wi-Fi a unui străin îi poate permite să vă vadă numărul de telefon și adresa de e-mail. Nu trebuie să inițiați AirDrop pentru a fi în pericol.

Siguranță Cercetătorii care au descoperit vulnerabilitatea spun că i-au dezvăluit Apple în mai 2019, dar compania nu a furnizat încă o soluție pentru 1,5 miliarde de dispozitive afectate.

Problema a fost parțial identificată în cercetările anterioare, deși în acest caz Au fost dezvăluite doar numere de telefon parțiale A fost necesară o bază de date pentru a completa spațiile libere. Această ultimă lucrare indică faptul că datele complete pot fi obținute de fiecare dată când cineva deschide o foaie de distribuire, indiferent de opțiunea pe care o aleg în continuare.

Cercetătorii din Germania Universitatea de Tehnologie Darmstadt El a spus că problema este o combinație de două aspecte. În primul rând, pentru a oferi opțiunea „Numai contacte” către AirDrop, dispozitivele Apple trebuie să solicite în tăcere date personale de la toate dispozitivele din raza de acțiune.

Deoarece datele sensibile sunt de obicei partajate exclusiv cu persoanele pe care utilizatorii le cunosc deja, AirDrop afișează în mod implicit numai receptoare de la contactele din agendă. Pentru a stabili dacă cealaltă parte este un contact, AirDrop utilizează un mecanism de autentificare reciprocă care compară numărul de telefon și adresa de e-mail ale utilizatorului cu intrările din agenda de adresă a celuilalt utilizator.

În al doilea rând, deși datele schimbate sunt criptate, Apple folosește un mecanism de hash relativ slab.

O echipă de cercetători de la Secure Mobile Networking Lab (SEEMOO) și de la Cryptography and Privacy Engineering Group (ENCRYPTO) de la TU Darmstadt au analizat mai îndeaproape acest mecanism și au descoperit o scurgere periculoasă de confidențialitate.

Ca atacator, este posibil să aflați numere de telefon și adrese de e-mail ale utilizatorilor AirDrop – chiar dacă sunteți complet străin. Tot ce au nevoie este un dispozitiv care acceptă Wi-Fi și o proximitate fizică față de țintă care începe procesul de descoperire prin deschiderea panoului Partajare pe un dispozitiv iOS sau macOS.

Rădăcinile problemelor descoperite sunt că Apple a folosit funcții de hash pentru a „ascunde” numerele de telefon și adresele de e-mail schimbate în timpul procesului de descoperire. Cercetătorii de la TU Darmstadt au arătat deja că hashingul nu asigură detectarea contactelor care păstrează confidențialitatea, deoarece presupusele valori hash pot fi inversate rapid folosind tehnici simple, cum ar fi atacurile cu forță brută.

Echipa spune că a rezolvat defectul AirDrop cu o abordare mai sigură numită PrivateDrop, dar în ciuda faptului că Apple i-a alertat pe amândoi Agregat Problemă și soluție posibilă, Apple nu a remediat-o încă.


Consultați 9to5Mac pe YouTube pentru mai multe știri Apple:

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *