Дослідники знайшли страшну уразливість даних в AirDrop від Apple

Хакери можуть отримати доступ до даних AirDrop і витягнути ваш номер телефону або адресу електронної пошти. Ця проблема відома з 2019 року і досі не була виправлена або визнана компанією Apple, хоча вона впливає на майже 1,5 мільярда пристроїв Apple на сьогоднішній день.

Згідно зі звітом дослідників безпеки з німецького Технічного університету Дармштадта, суть проблеми полягає в тому, що AirDrop обмінюється файлами між пристроями Apple, використовуючи адресну книгу та список контактів як опцію за замовчуванням. На думку дослідників, оскільки AirDrop використовує “механізм взаємної аутентифікації” для порівняння телефонних номерів, а також адрес електронної пошти, хакер може легко перехопити цю інформацію за допомогою “пристрою з підтримкою Wi-Fi”, який знаходиться поруч з користувачем Apple, що обмінюється файлами через MacOS, iOS або iPadOS за допомогою AirDrop. Доказ концепції атаки можна знайти на GitHub.

Це можна зробити, навіть якщо хакера немає в адресній книзі або списку контактів користувача. За словами дослідників, це відбувається в обох напрямках, як через Sender Leakage, так і через Receiver Leakage.

• 7 важливих порад, як підготувати новий Apple Watch до носіння на зап’ясті
• Поширені проблеми з macOS Ventura та способи їх вирішення
• iMac 27-дюймовий: Все, що ми знаємо про більший і потужніший iMac від Apple

Apple намагається захистити номери телефонів та адреси електронної пошти, якими обмінюються, за допомогою “обфускації”, але дослідники безпеки виявили, що це не запобігає зміні хеш-значень. Вони можуть бути “швидко зарезервовані”, на думку дослідників безпеки, за допомогою атак грубої сили.

Дослідники з Технічного університету Дармштадта розробили “PrivateDrop”, який може замінити недосконалий дизайн AirDrop. Як повідомляється, це рішення базується на оптимізованих криптографічних протоколах перетину приватних множин.

Це означає, що воно може завершувати обміни між певними пристроями без обміну хеш-значеннями, які в іншому випадку можуть бути інтерпретовані. Все це може відбуватися із затримкою близько секунди. Цей проект доступний на GitHub для тих, хто цікавиться дослідженнями, що стоять за його розробкою.

Since Apple hasn’t yet officially released a fix, you can try to avoid using or completely turn off AirDrop if you are concerned. To do this on an iPhone or an iPad, click Settings > General . From there, tap AirDrop > Вимкнення прийому . У MacOS ви можете вимкнути AirDrop, натиснувши на Центр управління поруч з датою і часом, вибравши AirDrop, а потім переключивши перемикач в положення Вимкнено. Додаткові відомості можна отримати в Apple, якщо ви хочете дізнатися більше про AirDrop в MacOS.

Рекомендації редакції

• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• Щойно придбали новий iPhone? Ось 12 порад та підказок, які допоможуть його освоїти
• У 2023 році Apple повинна виправити свій ганебний ліміт iCloud в 5 ГБ
• Я знайшов прихований підсумок кінця 2022 року на своєму iPhone, але краще б я цього не робив
• Найдешевший безлімітний 5G-план Verizon став ще дешевше

Source: digitaltrends.com