AirDrop kusuru potansiyel olarak kullanıcıların e-postasını ve telefon numarasını ortaya çıkarır
Fotoğraf: Charlie Kuzukulağı/Mac Tarikatı
Güvenlik araştırmacıları, Apple'ın dosya paylaşım sistemindeki bir güvenlik açığı nedeniyle yabancıların AirDrop kullanıcılarının e-posta adresini ve diğer kişisel bilgilerini görebileceğini söylüyor. Bu istismarın gerçekleşmesi için gereken tek şey, bir AirDrop kullanıcısına ve bir Wi-Fi cihazına fiziksel yakınlıktır.
Araştırmacıların Mayıs 2019'da kusuru Apple'a açıkladıkları bildirildi, ancak düzeltilmedi. Bu, potansiyel olarak 1,5 milyardan fazla Apple cihazını savunmasız bırakıyor.
AirDrop, iPhone, iPad ve Mac kullanıcılarına fotoğraf, belge ve diğer dosyaları yakındaki cihazlarla paylaşmanın kolay bir yolunu sunar. Kullanışlı, ancak görünüşe göre düşündüğünüz kadar güvenli değil.
Almanya'daki Technische Universitat Darmstadt'taki araştırmacılara göre, sorun AirDrop'un bir kullanıcının bir kişi olup olmadığını kontrol etme şeklinden kaynaklanıyor. AirDrop, potansiyel bir alıcının telefon numarasını ve e-postasını gönderenin adres defterinde saklanan girişlerle karşılaştırır.
Bu veriler şifrelenmiş olsa da, Apple'ın biraz zayıf bir hash mekanizması kullandığı bildiriliyor. Bu, kötü aktörlerin kişisel bilgileri keşfetmesini mümkün kılar.
Güvenlik araştırmacıları, PrivateDrop adlı AirDrop güvenlik açığı için bir düzeltme bulduklarını söylüyorlar. Ancak Apple hala hatayı düzeltmedi veya önerilen çözümü benimsemedi.
Araştırmacılar, "Bu, 1,5 milyardan fazla Apple cihazının kullanıcılarının ana hatlarıyla belirtilen gizlilik saldırılarına karşı hala savunmasız olduğu anlamına geliyor" dedi. "Kullanıcılar kendilerini ancak sistem ayarlarında AirDrop keşfini devre dışı bırakarak ve paylaşım menüsünü açmaktan kaçınarak koruyabilirler."
Apple güvenlik önlemleri
Çoğunlukla, hem gizlilik hem de şifreleme söz konusu olduğunda Apple çok güçlüdür. Bu, şirketin birkaç yıl önce Federallere yardım edip etmeme konusunda FBI ile çatışmasıyla özetlendi. şüpheli bir tetikçiye ait bir iPhone'a girmek.
Cupertino, güvenlik araştırmacılarının Apple yazılımında buldukları bayrak hatalarını bildirebilecekleri birden fazla raporlama mekanizması tanıttı. Apple bile teklif ediyor böcek ödülleri şeklinde iyi ödüller. Ancak sistem kusursuz değil. Geçmişte, elma ciddi hataları zamanında düzeltemedi.
Apple'ın AirDrop kusurunu düzeltmesinin neden bu kadar uzun sürdüğü belirsizliğini koruyor. Bu güvenlik açığının vahşi doğada kullanılıp kullanılmadığı da belli değil. Olmasa bile, potansiyel olarak kötü sonuçlar, en kısa sürede yamalanması gerektiği anlamına gelir. Umarım Apple bunu gelecek yazılım güncellemelerinde yapar.
Kaynak: Informatik.tu
Üzerinden: 9to5Mac