Ein Forscherteam des Secure Mobile Networking Lab (SEEMOO) und die Cryptography and Privacy Engineering Group (ENCRYPTO) an der TU Darmstadt entdeckte eine schwerwiegende Datenschutzschwäche im drahtlosen Filesharing-Protokoll von Apple. Die Sicherheitsanfälligkeit kann die Kontaktinformationen eines Benutzers offenlegen, einschließlich E-Mail-Adresse und Telefonnummer.
Mit anderen Worten, Angreifer könnten vertrauliche Details von Apple AirDrop-Benutzern erfahren. AirDrop wird von Apple-Benutzern verwendet, um Dateien miteinander zu teilen, aber es stellt sich heraus, dass dies völlig fremd ist (Bedrohungsakteure eingeschlossen) kann in den Prozess tippen. Alles, was benötigt wird, um die Schwachstelle auszunutzen, ist ein Wi-Fi-fähiges Gerät und physische Nähe zum Ziel.
Das Ziel sollte den Erkennungsprozess einleiten, indem es den Freigabebereich auf einem iOS- oder MacOS-Gerät öffnet, sagten die Forscher.
Die gute Nachricht ist, dass das Forschungsteam eine Lösung für die Schwäche entwickelt hat, die den anfälligen AirDrop ersetzen kann. Jedoch, Apple hat die schwerwiegende Lücke immer noch nicht geschlossen, verlassen mehr als 1.5 Milliarden gefährdete iOS- und MacOS-Benutzer.
Wo besteht die Apple AirDrop-Sicherheitsanfälligkeit??
Die Schwachstelle beruht auf der Verwendung von Hash-Funktionen durch Apple zur Verschleierung der Telefonnummern und E-Mail-Adressen während des Erkennungsprozesses. Das vorhandene Hashing liefert keine sichere und private Kontakterkennung, da die Hash-Werte durch einfache Techniken wie Brute-Force-Angriffe leicht umgekehrt werden können.
Und was ist mit der Lösung??
Zum Glück für Apple-Nutzer, Den Forschern gelang es, eine Lösung zu entwickeln. Wird als "PrivateDrop" bezeichnet,”Kann das fehlerhafte ursprüngliche AirDrop-Design ersetzen.
Wie funktioniert die PrivateDrop-Lösung??
Kurz gesagt, PrivateDrop basiert auf optimierten kryptografischen Schnittmengenprotokollen für private Gruppen, mit denen der Kontakterkennungsprozess zwischen zwei Benutzern sicher ausgeführt werden kann, ohne anfällige Hashwerte auszutauschen, erklärte das Forschungsteam. Das vom Team verwendete iOS- und MacOS der PrivateDrop-Implementierung zeigt, dass "es effizient genug ist, um die beispielhafte Benutzererfahrung von AirDrop mit einer Authentifizierungsverzögerung von weit unter einer Sekunde zu bewahren".
Apple muss die AirDrop-Sicherheitsanfälligkeit noch anerkennen
Es ist bemerkenswert, dass das Team Apple im Mai vor der schwerwiegenden Sicherheitslücke gewarnt hat 2019 in einer "verantwortungsvollen Offenlegung". jedoch, Das Unternehmen "hat das Problem weder erkannt noch angegeben, dass es an einer Lösung arbeitet."
Diese ungelöste Situation lässt die Benutzer von mehr als 1.5 Milliarden Apple-Geräte, die für die beschriebenen Datenschutzangriffe anfällig sind. „Benutzer können sich nur schützen, indem sie die AirDrop-Erkennung in den Systemeinstellungen deaktivieren und das Freigabemenü nicht öffnen," Das Team fügte hinzu.
Die Ergebnisse der umfangreichen Forschung und Analyse werden im August dieses Jahres während des USENIX Security Symposium in einem wissenschaftlichen Artikel vorgestellt.
Mehr zu Apples Datenschutz in 2021.