01.05.2021

Недостатки Apple AirDrop позволяют хакерам захватить номера телефонов и электронную почту пользователей

Bitdefender > Новости > Недостатки Apple AirDrop позволяют хакерам захватить номера телефонов и электронную почту пользователей

Пользователям продуктов Apple давно нравится возможность обмениваться файлами друг с другом по беспроводной сети, используя AirDrop для передачи файлов между своими iPhone и Macbook.

Но исследователи из Технического университета Дармштадта в Германии обнаружили, что слабые места в системе безопасности могут позволить злоумышленнику получить номер телефона жертвы и даже адрес электронной почты.

А ведь Apple не устранила проблему почти через два года после того, как ей сообщили о ней и несмотря на то, что 1,5 миллиарда устройств по всему миру потенциально уязвимы.

Об уязвимостях в AirDrop

В документе исследователей «PrivateDrop: практическая аутентификация с сохранением конфиденциальности для Apple AirDrop» подробно описываются «две серьезные уязвимости конфиденциальности в базовом протоколе аутентификации», используемом AirDrop.

Согласно документу, проблема заключается в следующем:

  1. AirDrop определяет, принадлежит ли соседнее устройство кому-то, кого пользователь уже знает.
  2. Чтобы определить, принадлежат ли два устройства общим контактам, AirDrop передает хэш SHA-256 адреса электронной почты или номера телефона отправляющего пользователя.
  3. Другие устройства в непосредственной близости проверяют хеш-код и сравнивают его с записями в своей адресной книге.
  4. Если обнаруживается взаимное совпадение, получатель отправляет обратно свой собственный хеш-код.
  5. Злоумышленник может подобрать хеш-код для определения телефонных номеров пользователей. Это занимает всего несколько секунд из-за относительно небольшого количества возможных телефонных номеров.

Адреса электронной почты сложнее изменить, но исследователи считают, что злоумышленники могут добиться определенного успеха, используя распространенные форматы электронной почты. Кроме того, хешированные адреса электронной почты могут быть получены с прошлых утечек данных.

Исследователи в частном порядке раскрыли уязвимость Apple в мае 2019 года, надеясь, что она будет исправлена. Apple ответила в июле 2020 года, заявив, что у компании «не было никаких обновлений о новых функциях или каких-либо изменений для устранения основной проблемы».

Стоит помнить, что для того, чтобы атака была успешной, злоумышленник должен находиться в непосредственной близости от своих жертв. Конечно, есть более простые способы определить чей-то телефонный номер, без эксплуатации этой уязвимости. Однако это не причина, чтобы не усиливать безопасность AirDrop.

Исследовательская группа разработала собственное решение для проверки правильности концепции ошибочного дизайна AirDrop, которое они назвали «PrivateDrop». К сожалению, единственный практический способ использовать его вместо AirDrop – это если Apple сама интегрирует его в операционные системы своих устройств.

Новости
12.05.2021
WhatsApp: спамеры закидывают почты пользователей фейковыми предложениями «для взрослых»
01.05.2021
Недостатки Apple AirDrop позволяют хакерам захватить номера телефонов и электронную почту пользователей
30.04.2021
От взломов до пустых кошельков – как популярные взломы приводят к краже цифровой валюты и данных