AirDrop — это функция, позволяющая устройствам Apple безопасно и удобно беспроводным способом передавать файлы, фотографии и многое другое между собой. Пользователи могут делиться файлами со своими собственными устройствами, друзьями, семьей или даже незнакомцами. Удобство и простота использования, однако, могут быть подорваны недавно обнаруженной уязвимостью в безопасности.
Исследователи из Технического университета Дармштадта обнаружили, что процесс, который AirDrop использует для поиска и проверки контакта в телефоне получателя, может раскрывать личную информацию. AirDrop включает три режима: «Получение выключено», «Только контакты» и «Все». Настройка по умолчанию — «Только контакты», что означает, что только люди из вашей адресной книги могут отправлять фотографии, файлы и многое другое на ваше устройство через AirDrop.
Исследователи обнаружили, что механизм взаимной аутентификации, который подтверждает, что получатель и отправитель есть в адресных книгах друг друга, может быть использован для раскрытия личной информации. Исследователи утверждают, что незнакомец может использовать этот механизм и его процесс в пределах досягаемости устройства iOS или macOS с открытой панелью общего доступа для получения личной информации. Как поясняют исследователи:
Как злоумышленник, можно узнать номера телефонов и адреса электронной почты пользователей AirDrop — даже будучи полным незнакомцем. Все, что им требуется, — это устройство с поддержкой Wi-Fi и физическая близость к цели, которая инициирует процесс обнаружения, открывая панель общего доступа на устройстве iOS или macOS.
Обнаруженные проблемы коренятся в использовании Apple хэш-функций для «затемнения» обмененных номеров телефонов и адресов электронной почты в процессе обнаружения. Однако исследователи из Технического университета Дармштадта уже показали, что хэширование не обеспечивает конфиденциальность при обнаружении контактов, поскольку так называемые хэш-значения могут быть быстро обращены с использованием простых методов, таких как атаки полного перебора.
Чтобы определить, является ли другая сторона контактом, AirDrop использует механизм взаимной аутентификации, который сравнивает номер телефона и адрес электронной почты пользователя с записями в адресной книге другого пользователя.
По словам исследователей, Apple была уведомлена об этой уязвимости в мае 2019 года, и, несмотря на несколько обновлений программного обеспечения с тех пор, уязвимость остается.
