Los usuarios de iPhone deben tener en cuenta: AirDrop tiene una vulnerabilidad de seguridad que puede revelar números de teléfono.
La entrega Apple Airdrop tiene tres modos: cerrado, solo contacto y todos. La selección predeterminada es Sólo contactos. Los investigadores dicen que cada dos lanzamientos aéreos utiliza un mecanismo de autenticación mutua que compara el número de teléfono y el correo electrónico de un usuario con las entradas en las libretas de direcciones de otros usuarios, un proceso en el que extraños pueden descifrar los datos autenticados para obtener el número de teléfono y el correo electrónico del usuario.
El impacto específico está en los siguientes dos aspectos:
1. Números de teléfono que los piratas informáticos pueden obtener:
Cuando el usuario activa la función AirDrop, Apple lo hará. Un formulario cifrado transmite el número de teléfono y la dirección de correo electrónico del usuario dentro de su alcance de Wi-Fi y Bluetooth para detectar dispositivos conectables cercanos. Si el usuario y otro dispositivo coinciden a través de AirDrop, las dos partes intercambiarán el hash criptográfico completo (hash SHA-256) del teléfono y los mensajes de correo electrónico.
Aunque este hash criptográfico no revela directamente información personal, los piratas informáticos pueden robar información personal de los usuarios calculando el hash criptográfico. Un pirata informático podría colocar una lista hash precompilada de números de teléfono en su computadora portátil, luego sentarse cerca de un lugar público e intentar establecer una conexión AirDrop para recopilar información de forma pasiva o activa de iPhones cercanos.
Los correos electrónicos no tienen una longitud predeterminada y pueden contener tanto letras como números, por lo que son más difíciles de descifrar que los números de teléfono. Pero los piratas informáticos también pueden descifrarlos utilizando los miles de millones de direcciones de correo electrónico que han aparecido en filtraciones de bases de datos durante los últimos 20 años.
2. Posibles ataques activos o pasivos:
Cuando los piratas informáticos pueden obtener la información personal de los usuarios de Apple, esta información puede ser abusada y defraudada, mediante ataques de phishing o tráfico de información.
Uno es el ataque pasivo más simple y poderoso. Sin ningún conocimiento previo, los atacantes pudieron obtener números de teléfono y direcciones de correo electrónico simplemente monitoreando a los usuarios cercanos para abrir el siguiente lanzamiento aéreo.
La otra es tomar la iniciativa de atacar. Un atacante puede abrir el siguiente lanzamiento aéreo y ver si los dispositivos cercanos responden a sus solicitudes de conexión. Este método es menos poderoso que un ataque pasivo porque solo funciona si el número de teléfono o la dirección de correo electrónico del atacante ya están en la libreta de direcciones del destinatario.
Especialmente cuando el atacante es un conocido, este tipo de ataque dirigido puede resultar muy efectivo.
Los funcionarios de Apple ya son conscientes del problema:
Investigadores de la Universidad Tecnológica de Darmstadt dijeron que habían notificado a Apple sobre el ataque AirDrop que descubrieron en mayo de 2019. Enviar lagunas jurídicas. Un año y medio después, le mostraron a Apple un rediseño de AirDrop: "Private AirDrop". El nuevo diseño utiliza tecnología de cifrado de intersección de conjuntos privados para permitir que ambas partes busquen contactos sin revelar el hash criptográfico. PrivateDrop actualmente está disponible públicamente en la comunidad de código abierto GitHub.
Pero hasta ahora, Apple no ha declarado si planea usar PrivateDrop o solucionar la vulnerabilidad de otra manera. En otras palabras, siempre que alguien active la función de entrega desde el aire, es posible que se filtren el número de teléfono y la dirección de correo electrónico.
Actualmente, la única forma de evitar fugas es configurar la opción de función "AirDrop" en "Recepción desactivada" en el menú de configuración del sistema. Espero que Apple pueda tomar medidas lo antes posible para garantizar la privacidad y seguridad del usuario. Hasta que Apple solucione completamente el problema, los usuarios deben evitar el uso de AirDrop en lugares públicos tanto como sea posible.