AirDrop este o caracteristică care permite dispozitivelor Apple să transfere fără fir fișiere, fotografii și multe altele între ele în mod sigur și convenabil. Utilizatorii pot partaja articole cu propriile dispozitive, prieteni, familie sau chiar străini. Comoditatea și ușurința de utilizare, totuși, pot fi subminate de o defecțiune de securitate recent descoperită.
TU Darmstadt au descoperit că procesul pe care AirDrop îl utilizează pentru a găsi și a verifica pe cineva este un contact pe telefonul unui receptor poate expune informații private. AirDrop include trei moduri; Recepție oprită, numai persoane de contact, toată lumea. Setarea implicită este Numai Contacte, ceea ce înseamnă că numai persoanele din agenda ta pot trimite fotografii, fișiere și multe altele pe dispozitivul tău.
Cercetătorii au descoperit că mecanismul de autentificare reciprocă care confirmă că atât destinatarul, cât și expeditorul se află în agenda celuilalt ar putea fi folosit pentru a expune informații private. Cercetătorii susțin că un străin poate folosi mecanismul și procesul acestuia în raza de acțiune a unui dispozitiv iOS sau macOS cu panoul de partajare deschis pentru a obține informații private. După cum explică cercetătorii:
În calitate de atacator, este posibil să aflați numerele de telefon și adresele de e-mail ale utilizatorilor AirDrop – chiar și ca un complet străin. Tot ce au nevoie este un dispozitiv compatibil Wi-Fi și apropiere fizică de o țintă care inițiază procesul de descoperire prin deschiderea panoului de partajare pe un dispozitiv iOS sau macOS.
Problemele descoperite sunt înrădăcinate în utilizarea de către Apple a funcțiilor hash pentru „obscurarea” numerelor de telefon și adreselor de e-mail schimbate în timpul procesului de descoperire. Cu toate acestea, cercetătorii de la TU Darmstadt au arătat deja că hashingul nu reușește să ofere o descoperire a contactelor care păstrează confidențialitatea, deoarece așa-numitele valori hash pot fi inversate rapid folosind tehnici simple, cum ar fi atacurile cu forță brută.
Pentru a determina dacă cealaltă parte este o persoană de contact, AirDrop utilizează un mecanism de autentificare reciprocă care compară numărul de telefon și adresa de e-mail ale unui utilizator cu intrările din agenda celuilalt utilizator.
Potrivit cercetătorilor, Apple a fost informat despre defect în mai 2019 și, în ciuda mai multor actualizări de software de atunci, defectul rămâne.
Posturi Populare