Помилка AirDrop потенційно розкриває електронну адресу та номер телефону користувачів
Фото: Чарлі Соррель/Культ Мака
Незнайомці можуть бачити адресу електронної пошти та іншу особисту інформацію користувачів AirDrop через недолік безпеки системи обміну файлами Apple, кажуть дослідники безпеки. Все, що потрібно для здійснення цього експлойту,-це фізична близькість до користувача AirDrop та пристрою Wi-Fi.
Як повідомляється, дослідники розкрили недолік Apple у травні 2019 року, але він залишається невиправленим. Це потенційно залишає вразливими понад 1,5 мільярда пристроїв Apple.
AirDrop надає користувачам iPhone, iPad та Mac простий спосіб обміну фотографіями, документами та іншими файлами з пристроями поблизу. Це зручно, але, мабуть, не так безпечно, як вам здається.
На думку дослідників з технічного університету Дармштадта в Німеччині, проблема випливає з того, як AirDrop перевіряє, чи є користувач контактом. AirDrop порівнює номер телефону та електронну адресу потенційного одержувача із записами, збереженими в адресній книзі відправника.
Хоча ці дані зашифровані, Apple, як повідомляється, використовує дещо слабкий механізм хешування. Це дає можливість поганим акторам відкривати особисту інформацію.
Дослідники з безпеки говорять, що вони придумали виправлення для вразливості AirDrop під назвою PrivateDrop. Однак Apple досі не усунула помилку - або прийняла запропоноване рішення.
"Це означає, що користувачі більш ніж 1,5 мільярдів пристроїв Apple все ще вразливі до окреслених атак на конфіденційність", - сказали дослідники. "Користувачі можуть захистити себе лише шляхом відключення AirDrop discovery у системних налаштуваннях та утримання від відкриття меню спільного доступу".
Заходи безпеки Apple
Здебільшого Apple дуже сильна, коли йдеться як про конфіденційність, так і про шифрування. Про це свідчить конфлікт компанії з ФБР кілька років тому щодо того, чи варто допомагати федералам проникнути в iPhone, що належить підозрюваному стрільцю.
Купертіно представив кілька механізмів звітності, за допомогою яких дослідники безпеки можуть повідомляти про помилки, які вони виявляють у програмному забезпеченні Apple. Apple навіть пропонує гідні винагороди у вигляді винагород за помилки. Однак система не бездоганна. У минулому Apple не вдалося вчасно виправити серйозні помилки.
Залишається неясним, чому Apple знадобилося так багато часу, щоб усунути недолік AirDrop. Також не зрозуміло, чи використовувалася ця вразливість у дикій природі. Навіть якщо ні, потенційно неприємні розгалуження означають, що його слід виправити якомога швидше. Сподіваємось, Apple зробить це в найближчих оновленнях програмного забезпечення.
Джерело: Informatik.tu
Через: 9to5Mac
