AirDrop-fout onthult mogelijk het e-mailadres en telefoonnummer van gebruikers
Foto: Charlie Sorrel/Cult of Mac
Vreemdelingen kunnen het e-mailadres en andere persoonlijke informatie van AirDrop-gebruikers zien vanwege een beveiligingsfout in het systeem voor het delen van bestanden van Apple, zeggen beveiligingsonderzoekers. Het enige dat nodig is om deze exploit te laten plaatsvinden, is fysieke nabijheid van een AirDrop-gebruiker en een wifi-apparaat.
De onderzoekers hebben naar verluidt de fout in mei 2019 aan Apple bekendgemaakt, maar deze is nog steeds niet verholpen. Dat maakt potentieel meer dan 1,5 miljard Apple-apparaten kwetsbaar.
AirDrop biedt iPhone-, iPad- en Mac-gebruikers een gemakkelijke manier om foto's, documenten en andere bestanden te delen met apparaten in de buurt. Het is handig, maar blijkbaar niet zo veilig als je zou denken.
Volgens onderzoekers van de Technische Universitat Darmstadt in Duitsland komt het probleem voort uit de manier waarop AirDrop controleert of een gebruiker een contactpersoon is. AirDrop vergelijkt het telefoonnummer en e-mailadres van een potentiële ontvanger met vermeldingen die zijn opgeslagen in het adresboek van de afzender.
Hoewel deze gegevens versleuteld zijn, gebruikt Apple naar verluidt een wat zwak hash-mechanisme. Dit maakt het mogelijk voor slechte acteurs om de persoonlijke informatie te ontdekken.
De beveiligingsonderzoekers zeggen dat ze een oplossing hebben gevonden voor de AirDrop-kwetsbaarheid, PrivateDrop genaamd. Apple heeft de bug echter nog steeds niet opgelost - of de voorgestelde oplossing overgenomen.
"Dit betekent dat de gebruikers van meer dan 1,5 miljard Apple-apparaten nog steeds kwetsbaar zijn voor de geschetste privacyaanvallen", aldus de onderzoekers. "Gebruikers kunnen zichzelf alleen beschermen door AirDrop-detectie uit te schakelen in de systeeminstellingen en door het menu voor delen niet te openen."
Apple-beveiligingsmaatregelen
Voor het grootste deel is Apple erg sterk als het gaat om zowel privacy als codering. Dit werd belichaamd door de botsing van het bedrijf met de FBI enkele jaren geleden over het al dan niet helpen van de Feds inbreken in een iPhone van een vermoedelijke schutter.
Cupertino heeft meerdere rapportagemechanismen geïntroduceerd waarmee beveiligingsonderzoekers bugs kunnen melden die ze in Apple-software vinden. Apple biedt zelfs fatsoenlijke beloningen in de vorm van bug bounties. Het systeem is echter niet foutloos. In het verleden, Apple heeft ernstige fouten niet tijdig verholpen.
Het blijft onduidelijk waarom het zo lang heeft geduurd voordat Apple de AirDrop-fout heeft opgelost. Ook is niet duidelijk of deze kwetsbaarheid ooit in het wild is gebruikt. Zelfs als dat niet het geval is, betekenen de potentieel vervelende gevolgen dat het zo snel mogelijk moet worden gepatcht. Hopelijk zal Apple dit doen in aankomende software-updates.
Bron: Informatik.tu
Via: 9to5Mac
