Een team van onderzoekers van het Secure Mobile Networking Lab (SEEMOO) en de Cryptography and Privacy Engineering Group (ENCRYPTO) aan de TU Darmstadt ontdekte een ernstige privacyzwakte in het draadloze protocol voor bestandsuitwisseling van Apple. Het beveiligingslek kan de contactgegevens van een gebruiker blootleggen, inclusief e-mailadres en telefoonnummer.
Met andere woorden, aanvallers kunnen gevoelige details van Apple AirDrop-gebruikers te weten komen. AirDrop wordt door Apple-gebruikers gebruikt om bestanden met elkaar te delen, maar het blijkt dat dit volkomen vreemden zijn (bedreigingsactoren inbegrepen) kan het proces aanboren. Alles wat nodig is om de zwakte te misbruiken, is een Wi-Fi-apparaat en fysieke nabijheid van het doelwit.
Het doel moet het detectieproces starten door het deelvenster op een iOS- of macOS-apparaat te openen, aldus de onderzoekers.
Het goede nieuws is dat het onderzoeksteam een oplossing heeft ontwikkeld voor de zwakte die de kwetsbare AirDrop kan vervangen. Echter, Apple heeft de ernstige maas in de wet nog steeds niet aangepakt, waardoor meer dan 1.5 miljard iOS- en macOS-gebruikers lopen gevaar.
Waar bestaat de Apple AirDrop-kwetsbaarheid??
De zwakte komt voort uit het gebruik van hash-functies door Apple om de telefoonnummers en e-mailadressen te verdoezelen tijdens het opsporingsproces.. De hashing op zijn plaats levert geen veilige en persoonlijke contactdetectie op, omdat de hash-waarden gemakkelijk kunnen worden teruggedraaid via eenvoudige technieken zoals brute-force-aanvallen.
En hoe zit het met de oplossing?
Gelukkig voor Apple-gebruikers, de onderzoekers waren succesvol in het ontwikkelen van een oplossing. Genaamd "PrivateDrop,”Het kan het gebrekkige originele AirDrop-ontwerp vervangen.
Hoe werkt de PrivateDrop-oplossing?
Kort gezegd, PrivateDrop is gebaseerd op geoptimaliseerde cryptografische intersectieprotocollen voor privésets die het contactdetectieproces tussen twee gebruikers veilig kunnen uitvoeren zonder kwetsbare hashwaarden uit te wisselen, legde het onderzoeksteam uit. De iOS- en macOS van PrivateDrop-implementatie die door het team wordt gebruikt, onthult dat "het efficiënt genoeg is om de voorbeeldige gebruikerservaring van AirDrop te behouden met een authenticatievertraging van ruim minder dan een seconde."
Apple heeft de AirDrop-kwetsbaarheid nog niet erkend
Het is opmerkelijk dat het team Apple waarschuwde voor de ernstige kwetsbaarheid in mei 2019 in een 'verantwoordelijke openbaarmaking'. Echter, het bedrijf "heeft het probleem niet erkend, noch aangegeven dat ze aan een oplossing werken."
Deze onopgeloste situatie laat de gebruikers van meer dan 1.5 miljard Apple-apparaten die kwetsbaar zijn voor de geschetste privacyaanvallen. “Gebruikers kunnen zichzelf alleen beschermen door AirDrop-detectie uit te schakelen in de systeeminstellingen en door het menu voor delen niet te openen," voegde het team toe.
De resultaten van het uitgebreide onderzoek en de analyse zullen in augustus van dit jaar worden gepresenteerd in een wetenschappelijk artikel tijdens het USENIX Security Symposium.
Meer Apple's privacy binnen 2021.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: