AirDrop er en funktion, der giver Apple-enheder mulighed for sikkert og bekvemt at overføre filer, billeder og mere mellem hinanden trådløst. Brugere kan dele elementer med deres egne enheder, venner, familie eller endda fremmede. Bekvemmeligheden og brugervenligheden kan dog blive undermineret af en nyopdaget sikkerhedsfejl.
TU Darmstadt har opdaget at den proces, som AirDrop bruger til at finde og bekræfte, at nogen er en kontakt på en modtagers telefon, kan afsløre private oplysninger. AirDrop inkluderer tre tilstande; Modtagelse fra, kun kontakter, alle. Standardindstillingen er kun kontakter, hvilket betyder, at kun personer i din adressebog kan AirDrop billeder, filer og mere til din enhed.
Forskerne opdagede, at den gensidige autentificeringsmekanisme, der bekræfter, at både modtager og afsender er på hinandens adressebog, kunne bruges til at afsløre private oplysninger. Forskerne hævder, at en fremmed kan bruge mekanismen og dens proces inden for rækkevidden af en iOS- eller macOS-enhed med delingspanelet åbent for at få private oplysninger. Som forskerne forklarer:
Som angriber er det muligt at lære AirDrop-brugeres telefonnumre og e-mailadresser – selv som en fuldstændig fremmed. Alt, hvad de kræver, er en Wi-Fi-kompatibel enhed og fysisk nærhed til et mål, der starter opdagelsesprocessen ved at åbne delingsruden på en iOS- eller macOS-enhed.
De opdagede problemer er forankret i Apples brug af hash-funktioner til at 'tilsløre' de udvekslede telefonnumre og e-mailadresser under opdagelsesprocessen. Forskere fra TU Darmstadt har dog allerede vist, at hashing ikke giver privatlivsbevarende kontaktopdagelse, da såkaldte hashværdier hurtigt kan vendes ved hjælp af simple teknikker såsom brute-force-angreb.
For at afgøre, om den anden part er en kontakt, bruger AirDrop en gensidig godkendelsesmekanisme, der sammenligner en brugers telefonnummer og e-mailadresse med indtastninger i den anden brugers adressebog.
Ifølge forskerne blev Apple informeret om fejlen i maj 2019, og trods adskillige softwareopdateringer siden da, er fejlen fortsat.
Populære Indlæg