Et team af forskere fra Secure Mobile Networking Lab (SEEMOO) og Cryptography and Privacy Engineering Group (ENCRYPTO) ved TU opdagede Darmstadt en alvorlig svaghed i privatlivets fred i Apples trådløse fildelingsprotokol. Sårbarheden kan afsløre en brugers kontaktoplysninger, inklusive e-mail-adresse og telefonnummer.
Med andre ord, angribere kunne lære følsomme detaljer om Apple AirDrop-brugere. AirDrop bruges af Apple-brugere til at dele filer med hinanden, men det viser sig, at fuldstændige fremmede (trusselsaktører inkluderet) kan udnytte processen. Alt, hvad der er nødvendigt for at udnytte svagheden, er en wi-fi-aktiveret enhed og fysisk nærhed til målet.
Målet skal starte opdagelsesprocessen ved at åbne delingsruden på en iOS- eller macOS-enhed, forskerne sagde.
Den gode nyhed er, at forskergruppen har udviklet en løsning på svagheden, der kan erstatte den sårbare AirDrop. Men, Apple har stadig ikke taget fat på det alvorlige smuthul, forlader mere end 1.5 milliarder iOS- og macOS-brugere i fare.
Hvor findes Apple AirDrop-sårbarheden?
Svagheden stammer fra Apples brug af hash-funktioner til tilsløring af telefonnumre og e-mail-adresser under opdagelsesprocessen. Hashingen på plads leverer ikke en sikker og privat kontaktopdagelse, da hashværdierne let kan vendes via enkle teknikker såsom brute-force angreb.
Og hvad med løsningen??
Heldigvis for Apple-brugere, forskerne havde succes med at udvikle en løsning. Kaldet “PrivateDrop,”Det kan erstatte det fejlbehæftede originale AirDrop-design.
Hvordan fungerer PrivateDrop-løsningen?
Kort sagt, PrivateDrop er bygget på optimerede kryptografiske private sæt krydsningsprotokoller, der sikkert kan udføre kontaktopdagelsesprocessen mellem to brugere uden at udveksle sårbare hash-værdier, forklarede forskergruppen. IOS og macOS fra PrivateDrop-implementering, der bruges af teamet, afslører, at "det er effektivt nok til at bevare AirDrops eksemplariske brugeroplevelse med en godkendelsesforsinkelse langt under et sekund."
Apple har endnu ikke anerkendt AirDrop-sårbarheden
Det er bemærkelsesværdigt, at holdet advarede Apple om den alvorlige sårbarhed i maj 2019 i en "ansvarlig videregivelse." Imidlertid, virksomheden “har hverken erkendt problemet eller antydet, at de arbejder på en løsning.”
Denne uløste situation efterlader brugerne af mere end 1.5 milliarder Apple-enheder, der er sårbare over for de skitserede privatlivsangreb. ”Brugere kan kun beskytte sig selv ved at deaktivere AirDrop-opdagelse i systemindstillingerne og ved at afstå fra at åbne delingsmenuen," tilføjede holdet.
Resultaterne af den omfattende forskning og analyse vil blive præsenteret i en videnskabelig artikel i august i år under USENIX Security Symposium.
Mere om Apples privatliv i 2021.