Bug in AirDrop: è possibile risalire al numero di telefono e all’email dell’utente

Another ICT Guy

Bug in AirDrop: è possibile risalire al numero di telefono e all’email dell’utente

I ricercatori della Technische Universitat Darmstadt in Germania hanno individuato una vulnerabilità nella funzionalità AirDrop dell’ecosistema Apple che consentirebbe, se adeguatamente sfruttata, di ottenere il numero di telefono e l’indirizzo email di un utente iPhone.

AirDrop è una funzionalità di trasferimento wireless di file e documenti che Apple ha integrato nel 2011 su Mac OS X “Lion” e successivamente nel 2013 su iOS e rappresenta attualmente nell’ecosistema della Mela uno dei modi più immediati per trasferire contenuti tra iPhone, iPad e Mac.

“Per determinare se l’altra parte è un contatto, AirDrop utilizza un meccanismo di autenticazione reciproca che confronta il numero di telefono e l’indirizzo e-mail di un utente con le voci presenti nella rubrica dell’altro utente” spiegano i ricercatori.

Nonostante queste informazioni siano crittografate, secondo i ricercatori la tecnica di hashing impiegata da Apple in questo frangente non permette di preservare la privacy dei contatti presenti in rubrica perché i valori hash possono essere rapidamente invertiti usando attacchi brute-force. Perché sia possibile effettuare un attacco è necessario trovarsi in prossimità di un utente che abbia aperto la funzionalità di condivisione AirDrop su un dispositivo abilitato.

La falla sarebbe stata scoperta addirittura nel 2019 e comunicata ad Apple nel corso del mese di maggio dello stesso anno. I ricercatori non avrebbero ricevuto alcun riscontro dal colosso di Cupertino. “Finora Apple non ha ne’ riconosciuto il problema ne’ indicato che stiano lavorando ad una soluzione. Ciò significa che gli utenti di oltre 1,5 miliardi di dispositivi Apple sono ancora vulnerabili a questo attacco. L’unica protezione è disabilitare il rilevamento AirDrop nelle impostazioni di sistema ed evitare di aprire il menù di condivisione”.

I ricercatori hanno sviluppato “PrivateDrop”, un protocollo che fa uso di tecniche crittografiche e che non prevedono lo scambio di hash vulnerabili.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *