Ошибка AirDrop потенциально раскрывает адрес электронной почты и номер телефона пользователей.
Фото: Чарли Соррель / Cult of Mac
По словам исследователей безопасности, незнакомцы могут видеть адрес электронной почты и другую личную информацию пользователей AirDrop из-за недостатка безопасности в системе обмена файлами Apple. Все, что требуется для этого эксплойта, - это физическая близость к пользователю AirDrop и устройству Wi-Fi.
Сообщается, что исследователи сообщили Apple об этой уязвимости в мае 2019 года, но она остается не исправленной. Это потенциально оставляет уязвимым более 1,5 миллиарда устройств Apple.
AirDrop дает пользователям iPhone, iPad и Mac простой способ обмениваться фотографиями, документами и другими файлами с находящимися поблизости устройствами. Это удобно, но не так безопасно, как вы думаете.
По словам исследователей из Технического университета Дармштадта в Германии, проблема связана с тем, как AirDrop проверяет, является ли пользователь контактом. AirDrop сравнивает номер телефона и адрес электронной почты потенциального получателя с записями, хранящимися в адресной книге отправителя.
Хотя эти данные зашифрованы, Apple, как сообщается, использует несколько слабый механизм хеширования. Это позволяет злоумышленникам обнаружить личную информацию.
Исследователи безопасности говорят, что они придумали исправление уязвимости AirDrop под названием PrivateDrop. Однако Apple до сих пор не исправила ошибку и не приняла предложенное решение.
«Это означает, что пользователи более 1,5 миллиарда устройств Apple по-прежнему уязвимы для описанных атак на конфиденциальность», - заявили исследователи. «Пользователи могут защитить себя, только отключив обнаружение AirDrop в настройках системы и воздерживаясь от открытия меню общего доступа».
Меры безопасности Apple
По большей части Apple очень сильна, когда дело касается конфиденциальности и шифрования. Ярким примером этого стало столкновение компании с ФБР несколько лет назад из-за того, нужно ли им помогать. взломать iPhone, принадлежащий подозреваемому стрелку.
Купертино представил несколько механизмов отчетности, с помощью которых исследователи безопасности могут уведомлять об ошибках, обнаруженных в программном обеспечении Apple. Apple даже предлагает достойные награды в виде наград за ошибки. Однако система не безупречна. В прошлом Apple не удалось своевременно исправить серьезные ошибки.
Остается неясным, почему Apple потребовалось так много времени, чтобы исправить ошибку AirDrop. Также неясно, использовалась ли эта уязвимость когда-либо в дикой природе. Даже если нет, потенциально опасные последствия означают, что его следует исправить как можно скорее. Надеюсь, Apple сделает это в ближайших обновлениях программного обеспечения.
Источник: Informatik.tu
С помощью: 9to5Mac