Грешка у безбедности Блуетоотх ЛЕ могла би дозволити злонамерним актерима да открију бројеве иПхонеа људи помоћу Аппле-ове функције за дељење датотека АирДроп.
Нападач би морао да створи базу телефонских бројева за одређену регију. Користећи посебну скрипту, они су тада могли прикупити податке о корисницима који су покушали АирДроп датотеку.
Као АрсТецхница белешке:
„Једноставно укључивање Блуетоотх-а емитује низ детаља о уређају, укључујући његово име, да ли се користи, ако је укључена Ви-Фи, верзија оперативног система која ради и информације о батерији. Више о томе: коришћење АирДроп-а или Ви-Фи дељења лозинке емитује делимични криптографски хеш који се лако може претворити у потпуни телефонски број иПхоне -а. Информације - које у случају Мац -а такође садрже статичку МАЦ адресу која се може користити као јединствени идентификатор - шаљу се у Блуетоотх нискоенергетским пакетима.
Недостатак потиче из чињенице да коришћењем Аппле -ове АирДроп функције емитује делимичан СХА256 хеш телефонског броја корисника. У случају да је дељење лозинке за Ви-Фи укључено, грешка омогућава хакерима да преузму телефонске бројеве, адресе е-поште и податке о Аппле ИД-у.
Уређаји шаљу само прва три бајта хеша. Међутим, истраживачи сигурносне компаније Хекваи показали су да је могуће опоравити комплетан телефонски број.
Извршни директор Еррата Сецурити Роб Грахам инсталирао је алатку за проверу концепта на свом лаптопу. У року од неколико минута, Грахам је снимио детаље о више од 12 иПхоне -а и Аппле сатова у околини.
Безбедносна питања
Аппле, дуго познат по својој безбедности, у последње време није имао најбоље време. Недавно су чланови Гоогле -овог тима Пројецт Зеро открили неке безбедносне недостатке у Порукама. Аппле објавио ажурирање за иОС 12 да закрпи рањивости.
Нажалост, ова најновија рањивост је још једна илустрација како једноставност употребе може бити у сукобу са сигурношћу. Док неке технологије (Фаце ИД, на пример) могу учинити обоје, у другим случајевима постоји озбиљнији компромис.