Apple Airdrop mette a rischio i dati degli utenti a causa di un difetto di privacy: report

Apple Airdrop mette a rischio i dati degli utenti a causa di un difetto di privacy: report

Un team di ricercatori del Secure Mobile Networking Lab (SEEMOO) e del Cryptography and Privacy Engineer Group (ENCRYPTO) ha scoperto che è possibile per un utente malintenzionato apprendere i numeri di telefono e gli indirizzi e-mail degli utenti di AirDrop anche se sono completamente estranei al bersaglio.

AirDrop è una popolare funzionalità di Apple che consente ai dispositivi di condividere i dati, in genere esclusivamente tra persone che si conoscono già. Per impostazione predefinita, Airdrop mostra solo i dispositivi riceventi dai contatti della rubrica. Funzionalmente, AirDrop utilizza un meccanismo di autenticazione reciproca che confronta il numero di telefono e l’indirizzo e-mail di un utente con le voci nella rubrica dell’altro utente.

Sfortunatamente, i ricercatori sono stati in grado di trovare un modo per apprendere quei numeri di telefono e indirizzi e-mail, anche se il dispositivo che tenta di effettuare la connessione non è noto al dispositivo di destinazione. Come inizialmente riportato da Mashable, tutto ciò che è necessario per eseguire l’exploit è un dispositivo WiFi e la vicinanza fisica a un target che può avviare il processo di rilevamento aprendo il riquadro di condivisione su un dispositivo iOS o macOS.

I ricercatori affermano che i suoi problemi scoperti sono radicati nell’uso da parte di Apple delle funzioni hash per “offuscare” i numeri di telefono e gli indirizzi e-mail scambiati durante il processo di scoperta.

“I ricercatori della TU Darmstadt hanno già dimostrato che l’hashing non riesce a fornire una scoperta dei contatti che preservi la privacy, poiché i cosiddetti valori hash possono essere rapidamente invertiti utilizzando tecniche semplici come gli attacchi di forza bruta”, si legge in un comunicato stampa sulla scoperta.

I ricercatori affermano di aver informato Apple della vulnerabilità della privacy nel maggio del 2019 tramite una divulgazione responsabile. Tom’s Guide ha pubblicato una storia nel luglio di quell’anno che riassume il problema di fondo.

Secondo i ricercatori, Apple non ha né riconosciuto il problema né indicato che stanno lavorando a una soluzione.

“Ciò significa che gli utenti di oltre 1,5 miliardi di dispositivi Apple sono ancora vulnerabili agli attacchi alla privacy descritti. Gli utenti possono proteggersi solo disabilitando la scoperta di AirDrop nelle impostazioni di sistema e astenendosi dall’aprire il menu di condivisione “, affermano i ricercatori.

Poiché Apple non ha indicato che una soluzione è in lavorazione, i ricercatori affermano di aver sviluppato ciò che chiamano “PrivateDrop” per sostituire il “design AirDrop originale difettoso”.

“PrivateDrop si basa su protocolli di intersezione di set privati ​​crittografici ottimizzati che possono eseguire in modo sicuro il processo di rilevamento dei contatti tra due utenti senza scambiare valori hash vulnerabili. L’implementazione iOS / macOS di PrivateDrop da parte dei ricercatori mostra che è abbastanza efficiente da preservare l’esperienza utente esemplare di AirDrop con un ritardo di autenticazione ben al di sotto di un secondo “, afferma il comunicato stampa.

Tutti e due Tom’s Guide e Mashable hanno sostenuto la disattivazione di AirDrop rispettivamente nel 2019 e ora nel 2021 per proteggere i dispositivi da questo exploit. PetaPixel ha contattato Apple per un commento ma non ha ricevuto immediatamente una risposta.


Crediti immagine: Foto dell’intestazione concessa in licenza tramite Depositphotos.




Iscriviti nei nostri Gruppi Telegram CLICCA QUI per condividere la tue fotografie, chiedere e rispondere alle domande che sorgono e aiutarsi a vicenda!

Ti ricordiamo anche il gruppo Telegram principale Fotografia Italia!