Ερευνητές από το
Τεχνικό
Πανεπιστήμιο
(TU) του Darmstadt
της Γερμανίας ανακάλυψαν ένα bug στο πρωτόκολλο κοινής χρήσης αρχείων
AirDrop
της Apple – που επιτρέπει στους
χρήστες
Mac και iPhone να μεταφέρουν
αρχεία
ασύρματα μεταξύ συσκευών – το οποίο θα μπορούσε να εκθέσει στοιχεία επικοινωνίας χρηστών, όπως
διευθύνσεις
email και αριθμούς τηλεφώνου.
Συγκεκριμένα, η σχετική δημοσίευση αναφέρει τα ακόλουθα:
«Μια ομάδα ερευνητών από το Secure Mobile Networking Lab (SEEMOO) και το Cryptography and Privacy Engineering Group (ENCRYPTO) στο TU Darmstadt εξέτασε προσεκτικά αυτόν τον μηχανισμό και ανακάλυψε ένα σοβαρό ζήτημα απορρήτου. Ως εισβολέας, κάποιος είναι δυνατόν να μάθει τους αριθμούς τηλεφώνου και τις
διευθύνσεις
email των χρηστών του AirDrop – ακόμη και ως εντελώς «άγνωστος». Το μόνο που χρειάζεται είναι μια συσκευή με δυνατότητα Wi-Fi και φυσική εγγύτητα σε έναν στόχο που ξεκινά τη διαδικασία ανακάλυψης ανοίγοντας το sharing pane σε μια iOS ή macOS συσκευή.»
Διαβάστε επίσης:
Πως οι άγνωστοι δεν θα μπορούν να σας στέλνουν
αρχεία
διαρροή
στοιχείων χρηστών!
Το AirDrop είναι μια ιδιόκτητη ad hoc
υπηρεσία
στα λειτουργικά
συστήματα
iOS και macOS της Apple που παρουσιάζεται στα Mac OS X Lion (Mac OS X 10.7) και iOS 7 και μπορεί να μεταφέρει
αρχεία
μεταξύ υποστηριζόμενων υπολογιστών Macintosh και συσκευών iOS μέσω close-range ασύρματης επικοινωνίας.
Το bug που ανακάλυψαν οι ερευνητές μπορεί να επηρεάσει τους ιδιοκτήτες πάνω από 1,5 δισεκατομμυρίων Apple συσκευών που εξακολουθούν να είναι ευάλωτες
.
Δείτε ακόμη:
Google Nearby Sharing:
νέα
λειτουργία
μεταφοράς αρχείων τύπου AirDrop
Το feature επιτρέπει την
κοινή
χρήση
δεδομένων με
συσκευές
από τις επαφές του βιβλίου διευθύνσεων. Το πρωτόκολλο AirDrop χρησιμοποιεί έναν
μηχανισμό αμοιβαίου ελέγχου ταυτότητας
που συγκρίνει τον αριθμό τηλεφώνου και τη διεύθυνση email ενός χρήστη με τις καταχωρήσεις στο
βιβλίο
διευθύνσεων του άλλου χρήστη για να προσδιορίσει εάν οι δύο
χρήστες
είναι σε επαφή.
διαρροή
στοιχείων χρηστών!
Οι ειδικοί επεσήμαναν ακόμη ότι ένας εισβολέας θα μπορούσε να μάθει τους αριθμούς τηλεφώνου και τις
διευθύνσεις
email των χρηστών του AirDrop, ακόμα κι αν δεν είναι άμεση επαφή. Τo bug που εντοπίστηκε από τους ερευνητές μπορεί να επιτρέψει σε έναν εισβολέα να μάθει τα στοιχεία επικοινωνίας (αριθμούς τηλεφώνου και
διευθύνσεις
email) των κοντινών αποστολέων και παραληπτών του AirDrop. Οι ειδικοί ανακάλυψαν επίσης ότι το bug προέρχεται από την ανταλλαγή τιμών κατακερματισμού τέτοιων identifiers κατά τη διαδικασία ανακάλυψης, που μπορούν εύκολα να αντιστραφούν από τους εισβολείς με brute-force ή dictionary
επιθέσεις
.
Πρόταση: REvil:
Απειλεί τώρα ότι θα διαρρεύσει σχέδια για νέα Apple logos και iPad!
Οι ερευνητές ανέφεραν ιδιωτικά τα ευρήματά τους στην Apple τον
Μάιο του 2019
και στη συνέχεια ανέπτυξαν μια λύση με την ονομασία
“PrivateDrop”
για την
αντιμετώπιση
του bug στο AirDrop και το ανέφεραν στον τεχνολογικό κολοσσό τον
Οκτώβριο του 2020
.
«Αναπτύξαμε μια λύση με την ονομασία “PrivateDrop” για να αντικαταστήσουμε το λανθασμένο πρωτότυπο σχέδιο του AirDrop. Η πρωτότυπη
εφαρμογή
PrivateDrop σε iOS / macOS δείχνει ότι η φιλική προς το απόρρητο προσέγγιση αμοιβαίου ελέγχου ταυτότητας είναι αρκετά αποτελεσματική για να διατηρήσει την υποδειγματική εμπειρία χρήστη του AirDrop με καθυστέρηση ελέγχου ταυτότητας πολύ κάτω από ένα δευτερόλεπτο. Η
εφαρμογή
PrivateDrop διατίθεται δημόσια στο GitHub.»
Πηγή πληροφοριών: securityaffairs.co
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.