Scoperta una vulnerabilità «grave» di AirDrop
AirDrop è una funzionalità sui dispositivi iOS e macOS che ti consente di condividere in modo sicuro e conveniente file, foto, filmati, ecc. non c’è bisogno di cavi.
AirDrop include tre modalità: Off, Solo contatti, Tutto. Per impostazione predefinita è impostato su Solo contatti (il che significa che possono usarti solo con te e puoi usarlo solo con coloro che sono già nella tua app Contatti).
Inoltre, Apple ha aumentato la sicurezza AirDrop nelle versioni recenti dei sistemi operativi, consentendo solo ai dispositivi che si trovano nell’orientamento puntato dal mittente di apparire sulla rete AirDrop (in modo che un dispositivo che è dietro non appaia nella rete AirDrop fino a quando l’utente non vi si rivolge).
I ricercatori hanno dimostrato che tramite AirDrop è possibile ottenere il numero di telefono e l’e-mail di estranei.
Affinché gli hacker possano rubare queste informazioni private, dovrebbero eseguire un attacco di forza bruta o qualche altra «tecnica semplice». Possono farlo solo mentre sono (fisicamente) vicini all’utente con il vantaggio della condivisione aperta su un dispositivo Apple abilitato per AirDrop.
Sebbene si tratti di condizioni molto specifiche, i ricercatori della Technische University di Darmstadt ritengono che questa vulnerabilità rappresenti una «grave violazione della privacy».
«Per determinare se l’altro utente è un contatto», scrivono i ricercatori, «AirDrop utilizza un meccanismo di autenticazione reciproca che confronta il numero di telefono e l’indirizzo e-mail di un utente con quelli presenti nell’app Contatti dell’altro utente».
Sebbene Apple crittografi tali informazioni, i ricercatori affermano che la tecnica di » hashing » utilizzata da Apple «non raggiunge un sistema di scoperta che protegge la privacy, poiché gli hash possono essere rapidamente invertiti utilizzando tecniche semplici come gli attacchi di forza bruta».
I ricercatori hanno scoperto questo bug in AirDrop nel 2019. Sebbene lo abbiano segnalato ad Apple, non hanno mai ricevuto risposta.