Defectul AirDrop dezvăluie potențialul e-mail și numărul de telefon al utilizatorilor
Foto: Charlie Sorrel / Cult of Mac
Străinii pot vedea adresa de e-mail și alte informații personale ale utilizatorilor AirDrop din cauza unei erori de securitate în sistemul de partajare a fișierelor Apple, spun cercetătorii în materie de securitate. Tot ce este necesar pentru ca acest exploat să aibă loc este apropierea fizică de un utilizator AirDrop și un dispozitiv Wi-Fi.
Cercetătorii ar fi dezvăluit defectul către Apple în mai 2019, dar acesta rămâne nesoluționat. Acest lucru poate lăsa vulnerabile peste 1,5 miliarde de dispozitive Apple.
AirDrop oferă utilizatorilor iPhone, iPad și Mac o modalitate simplă de a partaja fotografii, documente și alte fișiere cu dispozitivele din apropiere. Este convenabil, dar aparent nu este atât de sigur pe cât ai putea crede.
Potrivit cercetătorilor de la Technische Universitat Darmstadt din Germania, problema provine din modul în care AirDrop verifică dacă un utilizator este un contact. AirDrop compară numărul de telefon și e-mailul unui potențial destinatar cu intrările stocate în agenda de adrese a expeditorului.
Deși aceste date sunt criptate, Apple folosește un mecanism de hash oarecum slab. Acest lucru face posibil ca actorii răi să descopere informațiile personale.
Cercetătorii de securitate spun că au venit cu o soluție pentru vulnerabilitatea AirDrop numită PrivateDrop. Cu toate acestea, Apple încă nu a remediat eroarea - sau a adoptat soluția propusă.
„Aceasta înseamnă că utilizatorii a peste 1,5 miliarde de dispozitive Apple sunt încă vulnerabili la atacurile de confidențialitate descrise”, au spus cercetătorii. „Utilizatorii se pot proteja numai dezactivând descoperirea AirDrop în setările sistemului și abținându-se de la deschiderea meniului de partajare.”
Măsuri de securitate Apple
În cea mai mare parte, Apple este foarte puternic în ceea ce privește atât confidențialitatea, cât și criptarea. Acest lucru a fost simbolizat de ciocnirea companiei cu FBI-ul în urmă cu câțiva ani cu privire la faptul dacă îi va ajuta pe federali pătrunde într-un iPhone aparținând unui shooter suspect.
Cupertino a introdus mai multe mecanisme de raportare prin care cercetătorii de securitate pot notifica erorile de semnalizare pe care le găsesc în software-ul Apple. Apple chiar oferă recompense decente sub formă de recompense pentru bug-uri. Cu toate acestea, sistemul nu este impecabil. În trecut, Apple nu a reușit să remedieze erorile grave în timp util.
Rămâne neclar de ce a durat atât de mult Apple până când a reușit să remedieze defectul AirDrop. De asemenea, nu este clar dacă această vulnerabilitate a fost folosită vreodată în sălbăticie. Chiar dacă nu, ramificațiile potențial urâte înseamnă că ar trebui să fie reparate cât mai curând posibil. Sperăm că Apple va face acest lucru în viitoarele actualizări de software.
Sursă: Informatik.tu
Prin intermediul: 9to5Mac