ข้อบกพร่องด้านความปลอดภัย Bluetooth LE อาจทำให้ผู้ประสงค์ร้ายค้นพบหมายเลข iPhone ของผู้คนโดยใช้คุณสมบัติการแชร์ไฟล์ของ Apple AirDrop
ผู้โจมตีจะต้องสร้างฐานข้อมูลหมายเลขโทรศัพท์สำหรับภูมิภาคเฉพาะ เมื่อใช้สคริปต์พิเศษ พวกเขาสามารถรวบรวมข้อมูลเกี่ยวกับผู้ใช้ที่พยายามจะ AirDrop ไฟล์
เนื่องจาก ArsTechnica หมายเหตุ:
“เพียงแค่เปิดบลูทูธไว้ก็จะถ่ายทอดรายละเอียดของอุปกรณ์ต่างๆ มากมาย รวมถึงชื่อ ไม่ว่าจะใช้งานอยู่หรือไม่ หากเปิด Wi-Fi เวอร์ชัน OS ที่กำลังทำงานอยู่ และข้อมูลเกี่ยวกับแบตเตอรี่ ที่เกี่ยวข้องเพิ่มเติม: การใช้ AirDrop หรือการแชร์รหัสผ่าน Wi-Fi ออกอากาศแฮชเข้ารหัสบางส่วน ที่สามารถแปลงเป็นหมายเลขโทรศัพท์ที่สมบูรณ์ของ iPhone ได้อย่างง่ายดาย ข้อมูล—ซึ่งในกรณีของ Mac ยังมีที่อยู่ MAC แบบคงที่ที่สามารถใช้เป็นตัวระบุที่ไม่ซ้ำกัน—จะถูกส่งไปในแพ็กเก็ต Bluetooth Low Energy”
ข้อบกพร่องเกิดจากการใช้คุณสมบัติ AirDrop ของ Apple ออกอากาศแฮช SHA256 บางส่วนของหมายเลขโทรศัพท์ของผู้ใช้ ในกรณีที่เปิดการแชร์รหัสผ่าน Wi-Fi ข้อบกพร่องจะช่วยให้แฮ็กเกอร์สามารถรับหมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูล Apple ID ได้
อุปกรณ์จะส่งแฮชสามไบต์แรกเท่านั้น อย่างไรก็ตาม นักวิจัยของบริษัทรักษาความปลอดภัย Hexway พบว่าสามารถกู้คืนหมายเลขโทรศัพท์ทั้งหมดได้
Rob Graham CEO ของ Errata Security ติดตั้งเครื่องมือพิสูจน์แนวคิดบนแล็ปท็อปของเขา ภายในไม่กี่นาที Graham ได้บันทึกรายละเอียดของ iPhone และ Apple Watch มากกว่า 12 เครื่องในพื้นที่
ปัญหาด้านความปลอดภัย
Apple ซึ่งขึ้นชื่อในเรื่องความปลอดภัยมาช้านาน ยังไม่มีช่วงเวลาที่ดีที่สุดเท่าที่ควร เมื่อเร็วๆ นี้ สมาชิกของทีม Project Zero ของ Google ได้ค้นพบข้อบกพร่องด้านความปลอดภัยในข้อความ แอปเปิ้ล เผยแพร่การอัปเดต iOS 12 เพื่อแก้ไขจุดอ่อน
น่าเสียดายที่ช่องโหว่ล่าสุดนี้เป็นอีกตัวอย่างหนึ่งที่แสดงให้เห็นว่าความง่ายในการใช้งานสามารถขัดแย้งกับความปลอดภัยได้อย่างไร แม้ว่าเทคโนโลยีบางอย่าง (เช่น Face ID) สามารถทำได้ทั้งสองอย่าง แต่ในบางกรณีก็มีข้อเสียที่ร้ายแรงกว่านั้น