AirDrop «сливает» номера телефонов пользователей посторонним людям
Опубликованно 28.04.2021 18:05
В функции AirDrop былa oбнaружeнa уязвимoсть, кoтoрaя пoзвoляeт пoльзoвaтeлям Mac и iPhone пeрeдaвaть фaйлы мeжду устрoйствaми пo бeспрoвoднoй сeти, сooбщaeт пoртaл Mashable. Блaгoдaря этoй брeши в систeмe бeзoпaснoсти, AirDrop рaскрывaeт элeктрoнныe aдрeсa и нoмeрa тeлeфoнoв пoльзoвaтeлeй пoстoрoнним лицaм.
Кoмaндa исслeдoвaтeлeй утвeрждaeт, чтo oб этoм недостатке AirDrop у них своя свад из Купертино была предупреждена опять-таки в 2019 году, однако давно сих пор ничего неважный (=маловажный) сделала.
«Злоумышленник может признать номер телефона и адрес электронной почты пользователя AirDrop. Подле этом им даже маловыгодный нужно знать человека. Умышленник должен находиться достаточно носом) к цели и установить Wi-Fi-соединение в среде устройствами»,— говорится в бульдозер-релизе исследовательской группы.
Имеет смысл отметить, что это безлюдный (=малолюдный) единственный раз, когда AirDrop подрывает секретность пользователя. Так, в 2019 году исследователи обнаружили, а они могут определять телефонные гостиница пользователей на основе частичных хешей, которые отправляет AirDrop. При всем том пока неизвестно, была ли сия проблема устранена Apple, тем больше что по своему характеру возлюбленная похожа на уязвимость, раскрытую сверху этой неделе.
«Корешок обнаруженных проблем лежит в использовании Apple хеш-функций исполнение) «запутывания» обмениваемых телефонных номеров и адресов электронной почты кайфовый время процесса обнаружения AirDrop. Как-никак исследователи из Технического университета Дармштадта сделано показали, что хеширование безлюдный (=малолюдный) может обеспечить обнаружение контактов с сохранением конфиденциальности.
Главный исследователь угроз в Avast Мартюха Хрон объяснил, что хеш — сие односторонняя математическая функция, которая осуществляет подсчеты на основе предоставленных входных данных и выводит «отпечаток», какой всегда имеет постоянную длину, неподконтрольно. Ant. зависимо от длины входных данных.
«Из одного теста входные данные всегда имеют одно и так же хеш-значение для выходе. Самая важная свое лицо хеша заключается в том, фигли, зная его значение, вас не сможете восстановить входные эмпирика. Проблема в том, что в этом случае входные цифирь — это информация с низкой сложностью, ввиду номер телефона ограничен соответственно длине и состоит только изо цифр. Современные вычислительные мощности позволяют зуб даю «перебрать» число из хеша, пробуя каждую возможную комбинацию входного числа, и произвести выкладки его хеш», — рассказал советчик.
Директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов в беседе с «Газетой.Ru» упомянул, что-нибудь принцип работы AirDrop связан с процессом аутентификации, тот или другой должны пройти оба устройства ради успешного соединения. В момент, часом пользователь на Mac или iPhone выбирает обложка и способ передачи «поделиться после AirDrop», устройство начинает заниматься Bluetooth-сигнал. В данном случае передаются хеш заезжий двор телефона и Apple ID. Второе организация автоматически принимает хеш и сравнивает его с тем, зачем записан на устройстве.
Если нет они совпадают, происходит рокировка необходимыми данными. Таким образом, происходит метаморфизм аутентификации двух iOS-устройств возле передаче файлов. При этом неравно человек активирует опцию улавливать запросы на передачу данных через всех, то процесс аутентификации короче проходить автоматически.
«Логос хеширования в том, чтобы кто такой-то извне не туман получит хеш и понять, какие талант в нем зашифрованы. При этом устройства, которые им обмениваются, располагают этой информацией, почему могут сравнить по хешу способности и идентифицировать, что устройство находится в списке доверенных контактов. Скажем, имея базу данных существующих телефонных номеров может ли быть email, злоумышленник может построить хеш и методом отправки множества различных запросов с сим хешом к чьему-либо устройству, разведать номер или email, какой с ним связан. Номер телефона посчитать проще, так как всевозможных вариаций дешевле, нежели в случае с электронной почтой», — объяснил сюрвейтор.
Также Чернов отметил, по какой причине найденная уязвимость AirDrop получай самом деле является особенностью функции iOS, которая позволяет пользователям Mac и iPhone сообщать файлы между устройствами до беспроводной сети.
Она безграмотный классифицируется сообществом информационной безопасности делать за скольких уязвимость.
В данном случае хеширование Apple ID и заезжий дом телефона происходит по протоколу SHA-256, какой признается достаточно защищенным.
«Для того реализации атаки злоумышленнику нуждаться находиться в зоне действия Bluetooth-сигнала пользователя, по какой причине не позволяет сделать атаку массовой. В опасности могут (пре)бывать только те пользователи, которые находятся релятивно близко к злоумышленнику, и у которых в настройках выбрана опция получать запросы от всех», — поделился Чернов.
Интересах снижения рисков утечки данных рекомендуется пользователям продать режим обнаружения AirDrop с установленного по мнению умолчанию «Для контактов» бери «Прием выкл», советует принципал по ИТ компании Oberon Митярик Пятунин.
«Также неважный (=маловажный) советуем открывать окно «Поделиться» в общественных местах и присоединять пароль в Wi-Fi-сети. Именно в трех вышеперечисленных случаях прибор отправляет BLE-пакеты, которые содержат сумма от шифрования номера телефона», — посоветовал сюрвайер.
Категория: Технологии