Secure MobileNetworkingLabの研究者チーム (SEEMOO) および暗号化およびプライバシーエンジニアリンググループ (ENCRYPTO) ダルムシュタット大学で、Appleのワイヤレスファイル共有プロトコルに深刻なプライバシーの弱点があることを発見しました. この脆弱性により、ユーザーの連絡先情報が公開される可能性があります, メールアドレスと電話番号を含む.
言い換えると, 攻撃者はAppleAirDropユーザーの機密情報を知る可能性があります. AirDropは、Appleユーザーがファイルを相互に共有するために使用しますが、完全に見知らぬ人であることが判明しました (含まれる脅威アクター) プロセスを利用することができます. 弱点を悪用するために必要なものはすべて、Wi-Fi対応デバイスとターゲットへの物理的な近接性です。.
ターゲットは、iOSまたはmacOSデバイスで共有ペインを開いて検出プロセスを開始する必要があります, 研究者は言った.
幸いなことに、研究チームは脆弱なAirDropを置き換えることができる弱点の解決策を開発しました. でも, Appleはまだ深刻な抜け穴に対処していません, 以上を残す 1.5 危険にさらされている10億人のiOSおよびmacOSユーザー.
AppleAirDropの脆弱性はどこにありますか?
この弱点は、Appleが発見プロセス中に電話番号と電子メールアドレスを難読化するためにハッシュ関数を使用していることに起因しています。. 適切なハッシュは、安全でプライベートな連絡先の発見を提供できません, ハッシュ値はブルートフォース攻撃などの単純な手法で簡単に元に戻すことができるため.
そして、ソリューションはどうですか?
Appleユーザーにとって幸いなことに, 研究者たちはソリューションの開発に成功しました. 「PrivateDrop」と呼ばれる,」それは欠陥のある元のAirDropデザインを置き換えることができます.
PrivateDropソリューションはどのように機能しますか?
すぐに言った, PrivateDropは、脆弱なハッシュ値を交換することなく2人のユーザー間で連絡先検出プロセスを安全に実行できる、最適化された暗号化プライベートセット交差プロトコルに基づいて構築されています, 研究チームは説明しました. チームが使用したPrivateDrop実装のiOSとmacOSは、「認証遅延が1秒をはるかに下回るAirDropの模範的なユーザーエクスペリエンスを維持するのに十分効率的である」ことを明らかにしています。
AppleはまだAirDropの脆弱性を認めていません
チームが5月の深刻な脆弱性についてAppleに警告したことは注目に値します 2019 「責任ある開示」において。でも, 同社は「問題を認識しておらず、解決策に取り組んでいることも示していません」。
この未解決の状況は、ユーザーに 1.5 概説されたプライバシー攻撃に対して脆弱な10億台のAppleデバイス. 「ユーザーは、システム設定でAirDrop検出を無効にし、共有メニューを開かないようにすることによってのみ、自分自身を保護できます。,」 チームは追加しました.
広範な調査と分析の結果は、今年8月のUSENIXセキュリティシンポジウムで科学論文に発表されます。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: